Onderzoekers hebben een akoestische aanval ontwikkeld waarmee het mogelijk is om, aan de hand van het geluid dat mensen maken bij het tikken op een toetsenbord, toetsaanslagen met 95 procent nauwkeurigheid op afstand af te luisteren (pdf). Het afluisteren van toetsaanslagen tijdens een Zoom-gesprek levert een succesratio van 93 procent op, zo stellen de onderzoekers van de Durham University, University of Surrey en Royal Holloway University of London.
"Mensen zullen bij het typen van een wachtwoord vaak hun scherm verbergen, maar weinig doen om het geluid van hun toetsenbord te verbergen", zo stellen de onderzoekers. Het gebrek aan 'zorgen over de toetsenbordakoestiek' komt volgens hen mogelijk door een gebrek aan kennis over het onderwerp. De onderzoekers bedachten verschillende scenario's om het risico van een akoestische aanval te demonstreren, namelijk het gebruik van een smartphone en videoconferentiesoftware Zoom.
Een aanvaller zou bijvoorbeeld een smartphone kunnen compromitteren, om vervolgens via de microfoon het slachtoffer af te luisteren. Hierbij moet de aanvaller eerst het gebruikte algoritme zien te trainen met toetsaanslagen van het slachtoffer. Op deze manier kan de aanvaller een model maken van het geluid van aangeslagen toetsen. Voor het onderzoek werden 36 toetsen van een MacBook elk 25 keer achter elkaar ingedrukt en het geluid opgenomen.
In het geval van de aanval via Zoom en Skype zou een aanvaller verbanden kunnen leggen tussen berichten van het slachtoffer en het gemaakte geluid. Zodra het model is gemaakt kunnen toetsaanslagen van gebruikers met hoge nauwkeurigheid worden afgeluisterd, waarbij de smartphone met 95 procent het meest nauwkeurig is, gevolgd door Zoom (93 procent). Een goede verdediging tegen de aanvallen is het afspelen van het geluid van willekeurige gegenereerde toetsaanslagen en een andere manier van typen (touch typing).
Deze posting is gelocked. Reageren is niet meer mogelijk.