Die Klangmuster von Tastenanschlägen können heute mit bemerkenswerter Präzision dazu genutzt werden, Passwörter auszuspähen und zu stehlen. Dies wurde von einem Kollektiv von Forschern verschiedener britischer Universitäten nachgewiesen, wie die US-Nachrichtenseite Bleeping Computer berichtet. Für ihre Untersuchung setzten sie ein Deep-Learning-Modell ein, das im Grunde genommen eine KI darstellt.
Team war in der Lage, die eingegebenen Daten mithilfe eines Mikrofons eines iPhone mit einer Genauigkeit von 95 Prozent zu rekonstruieren. Selbst bei der Verwendung der Videokonferenz-Software Zoom betrug die Übereinstimmung immer noch 93 Prozent.
Akustische Angriffe heute wesentlich einfacher
Ein solcher Angriff stellt eine Bedrohung für die Datensicherheit dar, da Passwörter, private Chats und andere vertrauliche Informationen aufgedeckt werden können. Aufgrund der weiten Verbreitung von mikrofongestützten Geräten, die hochwertige Audioaufnahmen ermöglichen, sind akustische Angriffe heute wesentlich einfacher geworden, so das Medium.
Folgendermaßen sind die Wissenschaftler bei der Simulation eines solchen Angriffs vorgegangen: Der erste Schritt bestand darin, Tastenanschläge aufzuzeichnen, um Daten für das Training eines Vorhersagealgorithmus zu sammeln. Dies konnte entweder mithilfe eines nahegelegenen Mikrofons oder über das infizierte Telefon des Opfers, das mit Schadsoftware befallen war, erfolgen. Alternativ konnten Tastenanschläge auch über einen Zoom-Anruf aufgezeichnet werden, bei dem ein heimtückischer Teilnehmer die Beziehung zwischen den getippten Nachrichten des Opfers und der Tonaufnahme herstellt.
Die Forscher sammelten in ihrer Studie Daten, indem sie 36 Tasten eines Macbook Pro jeweils 25-mal drückten und den erzeugten Ton bei jedem Tastendruck aufzeichneten. Anschließend erstellten sie aus den Aufzeichnungen Kurven und Spektrogramme, wobei jede Taste individuell dargestellt wurde.
Apple, Zoom und Skype
Die Experimente wurden auf demselben Laptop durchgeführt, dessen Tastatur seit zwei Jahren in allen Apple-Laptops verwendet wird. Ein iPhone 13 mini wurde in einer Entfernung von 17 Zentimetern platziert, und Zoom wurde genutzt.
Das von der Forschergruppe entwickelte Programm trägt den Namen CoAtNet. Bei den Versuchen mit dem Smartphone-Mikrofon konnten Passwörter mit einer Genauigkeit von 95 Prozent rekonstruiert werden. Bei den Tests mit Zoom betrug die Trefferquote 93 Prozent, und bei Skype lag sie noch knapp bei 92 Prozent.
"Weißes-Rauschen-Software schafft Abhilfe"
Die Forscher empfehlen verschiedene Maßnahmen zur Abwehr von akustischen Angriffen auf IT-Geräte. Dazu gehören die Veränderung des Tippstils oder die Verwendung zufällig generierter Passwörter - letzteres erschwert es Angreifern, das Passwort zu entschlüsseln, im Vergleich zu einem ganzen Wort. Weitere mögliche Schutzmaßnahmen könnten Software sein, die Tastengeräusche nachahmt oder "weißes Rauschen" erzeugt, sowie softwarebasierte Tastatur-Audiofilter.
Leise Tastaturen, Schalldämpfer und andere mechanische Gegenmaßnahmen würden jedoch nach Ansicht der Studienautoren nicht viel nützen. Die Verwendung von biometrischer Authentifizierung und Passwortmanagern, die das manuelle Eingeben von Zeichen überflüssig machen, haben sich hingegen als effektive Methoden erwiesen.
Kommentar schreiben