敲击键盘也可能泄露敏感信息？

新研究揭示，通过分析打字声音即可推断出敲击的按键，这意味着即便环境嘈杂，键盘同样有可能暴露密码，导致用户的敏感信息被泄露。

研究表明，键盘的声学旁道攻击可以绕过依靠键盘作为主要输入工具的设备的安全防护，通过监测系统的某些模式来获取敏感信息，比如时间信息、电力消耗或者敲击键盘时发出的声音。

以往的研究者仅能在受控环境下成功解析键盘声学信息，但乔治亚州奥古斯塔大学的研究人员通过实验证明，他们能够在真实环境中识别这些声音。为此，他们发表了一篇论文，详细阐述了这种声学侧信道攻击手段。

论文中写道，为了验证该攻击，根据经机构审查委员会批准的方案，他们收集了20名参与者的环境噪声和打字文本，通过实验确定击键成功率高达43%。这个成功率听起来好像并不高，但如果重复录制同一次输入，成功率有望显著提高。

研究人员称，他们的成果不受以往分析的限制，当以下情况出现时，攻击会更有效：

• 录音包含环境噪声

• 针对同一目标的打字录音是在不同的键盘上进行的

• 录音使用的是低质量麦克风

• 目标对象可自由使用任何打字习惯

如果威胁行为者想要实施一次成功的攻击，他们只需要收集按键声音的数据样本来训练统计模型，一旦模型能够将敲击声与特定字母关联，就能获取想要的敏感信息，比如登陆凭据。

在之前的研究中，研究人员已经成功利用深度学习模型将笔记本电脑的按键声音与具体字符匹配。去年，他们使用了一台配备M1 Pro处理器的2021款MacBook Pro笔记本电脑，依靠人工智能监听敲击键盘的声音来确定对应的按键，准确率高达95%，成功地解读了Zoom通话中用户的打字内容。

而这种攻击方法不依赖于特定平台，只需要一个带有麦克风的设备（比如智能手机、笔记本电脑或物联网设备）靠近物理键盘，就能发起攻击。

声学攻击的多重传播途径

这类攻击手段可以通过网站、浏览器扩展、应用程序、跨站脚本以及受损的USB键盘等形式作为恶意软件进行部署。USB 输入设备可以像任何 USB 存储驱动器一样存储和传播恶意软件，因为它们通常有足够的计算能力和存储空间来运行预装脚本。

众所周知，键盘包含由制造商安装的键盘记录程序，许多公司和代购都在亚马逊等网站上销售键盘。因此，从键盘发起自动执行攻击的想法并非遥不可及。

虽然这种攻击可以通过更安静的键盘来阻止，但黑客攻击方法会随着时间的推移而不断改进，43% 的成功率表明了这种攻击方法的可行性。

根据研究论文，除了不使用物理键盘外，专业打字员也可能让攻击变得困难，因为他们的打字速度极快，而且多个击键之间会有重叠。

此外，研究在结论部分还提到，未来项目计划使用大型语言模型（LLMs）来提高攻击的成功率，进一步强调了AI可能对数字安全造成的潜在威胁。

参考来源：

https://cybernews.com/security/keyboard-strokes-reveal-sensitive-data/

https://www.tomshardware.com/peripherals/keyboards/typing-sounds-can-be-used-to-determine-keystrokes-new-research-shows-your-keyboard-can-reveal-passwords-even-in-noisy-environments

文章来源：freebuf

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！

如侵权请私聊我们删文

END