नया acoustic attack, keypress डेटा 95% सटीकता के साथ चुरा लेता है

 (bleepingcomputer.com)
7 पॉइंट द्वारा GN⁺ 2023-08-06 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • यूके की एक शोध टीम ने acoustic attack का उपयोग करके keyboard keypresses से 95% सटीकता के साथ डेटा चुराने वाला एक deep learning model विकसित किया है.
  • Zoom का उपयोग करके sound classification algorithm को train करने पर इस model की सटीकता 93% तक गिर जाती है, लेकिन यह फिर भी खतरनाक रूप से ऊंची है और इस क्षेत्र में रिकॉर्ड स्तर की सटीकता है.
  • इस तरह के attack password, बातचीत, messages और अन्य sensitive information को किसी दुर्भावनापूर्ण third party तक लीक कर सकते हैं, जिससे data security पर गंभीर खतरा पैदा होता है.
  • अन्य side-channel attacks के विपरीत, जिन्हें विशेष परिस्थितियों की जरूरत होती है और जिनमें data transmission rate तथा distance की सीमाएं होती हैं, acoustic attack अब ज्यादा सरल हो गया है क्योंकि high-quality audio capture कर सकने वाले microphone वाले devices व्यापक रूप से इस्तेमाल हो रहे हैं.
  • attack का पहला चरण target के keyboard से keypresses को record करना है, जो पास के microphone, malware से संक्रमित target के phone, या Zoom call के जरिए किया जा सकता है.
  • शोधकर्ताओं ने MacBook Pro की 36 keys को अलग-अलग 25 बार दबाते समय उत्पन्न ध्वनि को record करके training data इकट्ठा किया.
  • record की गई keypress sounds को waveform और spectrogram में बदलकर image classifier 'CoAtNet' को train करने में इस्तेमाल किया गया.
  • शोधकर्ताओं ने smartphone recording में 95% सटीकता हासिल की, जबकि Zoom के जरिए capture की गई recording में 93% सटीकता मिली. Skype ने 91.7% की कम लेकिन उपयोगी सटीकता दिखाई.
  • acoustic side-channel attack के जोखिम को कम करने के लिए, users typing style बदल सकते हैं, random passwords का उपयोग कर सकते हैं, keypress sounds को फिर से उत्पन्न कर सकते हैं, white noise का उपयोग कर सकते हैं, या software-based keypress audio filters का इस्तेमाल कर सकते हैं.
  • शोधकर्ता अतिरिक्त सावधानी के तौर पर जहां संभव हो biometric authentication का उपयोग करने और sensitive information को manually टाइप करने से बचने के लिए password manager इस्तेमाल करने का सुझाव देते हैं.
  • attack model ने यह भी साबित किया कि यह बहुत शांत keyboards पर भी बेहद प्रभावी है. इसका मतलब है कि mechanical keyboard में sound dampeners जोड़ना या membrane keyboard पर स्विच करना शायद मददगार नहीं होगा.

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2023-08-06
Hacker News राय
  • लेख में चर्चा है कि एक नया acoustic attack कीस्ट्रोक से 95% सटीकता के साथ डेटा चुरा सकता है।
  • प्रयोग में training data और test data बनाने के लिए वही laptop और microphone इस्तेमाल किए गए थे।
  • मॉडल को व्यावहारिक side-channel attack के लिए Zoom से एकत्र किए गए डेटा पर train किया गया था।
  • यह सवाल उठता है कि मॉडल जिन acoustic features को पहचानता है, वे हर key की physical fingerprint हैं या keyboard/laptop के अंदर के resonance pattern, और यह स्पष्ट नहीं है।
  • मॉडल का प्रदर्शन इस बात पर निर्भर कर सकता है कि हर key को कितनी ताकत से दबाया जाता है और किस तरह का keyboard इस्तेमाल किया जाता है।
  • यह विकास security और spying के नजरिए से महत्वपूर्ण है, क्योंकि इससे संकेत मिलता है कि संवेदनशील audio bug मूल रूप से keylogger की तरह काम कर सकता है।
  • Zoom सहित कुछ video conferencing software, noise cancellation के हिस्से के रूप में audio से keyboard की आवाज़ हटा देते हैं, जिससे इस attack का खतरा सीमित हो सकता है।
  • औसत या तेज़ typists पर मॉडल के प्रदर्शन को लेकर सवाल हैं। उदाहरण चित्र में हर 0.5 सेकंड पर एक key दबाई जाती दिखती है, जो एक खास typing style का संकेत देती है।
  • लेख ने इस तकनीक का उपयोग करने वाले wireless keyboard में रुचि जगाई है, जिन्हें battery, charging या synchronization की ज़रूरत नहीं होती।
  • कुछ पाठकों ने इस खतरे के संभावित समाधान के रूप में one-time password के उपयोग का सुझाव दिया है।
  • दूसरों ने जवाबी उपाय के तौर पर Zoom calls में typing background audio inject करने का सुझाव दिया है.