Yeni Saldırı Yöntemi: Klavye Tıklamalarından %95 Doğrulukla Veri Çalınıyor
İngiliz Üniversitesinden bir araştırma ekibi, yeni bir derin öğrenme modeli geliştirdi. Bu modele göre, mikrofon kullanılarak kaydedilen klavye tıklamalarından %95 doğrulukla veri çalınabiliyor.
Ses sınıflandırma algoritmasını eğitmek için Zoom kullanıldığında doğruluk payının %93’e düştüğü anlaşılıyor. Ancak bu pay bile hala tehlikeli derecede yüksek ve bu ortam için bir rekor değeri taşıyor. Bu tür bir saldırı, kişilerin şifrelerini, tartışmalarını, mesajlarını veya diğer hassas bilgilerini kötü niyetli üçüncü taraflara sızdırabileceğinden, hedefin veri güvenliğini ciddi şekilde etkiliyor.
Özel koşullar gerektiren, veri hızı ve mesafe sınırlamalarına tabi olan diğer yan kanal saldırılarının aksine, yüksek kaliteli ses yakalama elde edebilen mikrofon taşıyan cihazların fazlalığı nedeniyle akustik saldırılar çok daha basit hale geliyor.
Bu yöntem, makine öğrenimindeki hızlı gelişmelerle birleştiğinde, ses tabanlı yan kanal saldırılarını mümkün ve önceden tahmin edilenden çok daha tehlikeli hale getiriyor.
Saldırının ilk adımı hedefin klavyesindeki tuşların vuruşlarını kaydetmek. Bunu yapmak, verilerin tahmin algoritmasını geliştirmek için önemli bir adım. Bu işlem ise, yakındaki bir mikrofon veya mikrofonuna erişimi olan telefon aracılığıyla gerçekleştiriliyor.
Araştırmacılar, modern bir MacBook Pro’da 36 tuşa 25 kez basarak ve her basışta çıkan sesi kaydederek eğitim verilerini topladı.
Kayıtlardan sonra her tuş için tanımlanabilir farklılıkları görselleştiren dalga biçimleri ve spektrogramlar ürettiler ve tuş vuruşlarını tanımlamak için kullanılabilecek sinyalleri artırmak için belirli veri işleme adımlarını gerçekleştirdiler.
Spektrogram görüntüleri, bir görüntü sınıflandırıcı olan ‘CoAtNet’i eğitmek için kullanılırken, süreç, en iyi tahmin doğruluğu sonuçları elde edilene kadar dönem, öğrenme hızı ve veri bölme parametreleriyle bazı deneyler yapılmasını gerektiriyordu.
Araştırmacılar bu deneyde, klavyesi son iki yıldır Apple dizüstü bilgisayarlarda kullanılan klavye ile aynı olan dizüstü bilgisayarı, hedeften 17 cm uzağa yerleştirilmiş iPhone 13 mini ve Zoom uygulaması kullanarak test etti.
CoANet sınıflandırıcı, akıllı telefon kayıtlarından %95 ve Zoom aracılığıyla kaydedilen kayıtlardan %93 doğruluk elde etti. Skype ise, daha düşük olsa da yine de kullanılabilir olan %91,7’lik bir doğruluk payı elde etti.
Akustik klavye saldırılarından endişe duyan kullanıcılar için yazma stillerini değiştirmeleri ve rastgele parolalar kullanmaları öneriliyor. Ayrıca araştırmacıları konu ile alakalı hazırladığı makaleleri de okuyabilirsiniz.
Alternatif olarak, tuş vuruşu seslerini yardımcı yazılımlar sayesinde farklı seslerle bastırabilmek mümkün.
Saldırı modelinin çok sessiz bir klavyeye karşı bile son derece etkili olduğunu unutulmamalı. Bu nedenle mekanik klavyelere ses sönümleyiciler eklemenin veya membran tabanlı klavyelere geçmenin yardımcı olma olasılığı maalesef düşük.
Sonuç olarak, mümkün olduğunda biyometrik kimlik doğrulamanın kullanılması ve hassas bilgilerin manuel olarak girilmesi ihtiyacını ortadan kaldırmak için parola yöneticilerinden yararlanılması faydalı gibi görünüyor.