هکرها می‌توانند رمز عبور را از امواج‌ مغزی سرقت کنند

دیلی‌میل   دانشمندان دریافته‌اند هکرها می‌توانند از امواج مغزی برای سرقت‌ رمزهای عبور استفاده کنند.

 تیمی از محققان دانشگاه آلاباما دریافته‌اند هدست‌های حسگر امواج‌ مغزی موسوم به هدست‌های الکتروانسفالوگرافی (EEG) کاربران را در معرض خطر سرقت رمزهای عبورشان قرار می‌دهند. این هدست‌ها به عنوان ابزار پزشکی و کنترلرهای گیم کاربرد دارند و بهای آنها از 150 تا 800 دلار است.

«نیتش ساکسنا» (Nitesh Saxena)، دانشیار گروه رایانه و علوم اطلاعات در دانشگاه آلاباما، گفت: این ابزارها فرصت‌های بی‌شماری پیش روی کاربران قرار داده‌اند با این حال خطرهای امنیتی به وجود می‌آورند و شرکت‌ها به دنبال توسعه نسخه‌های پیشرفته‌تر این فناوری رابط رایانه و مغز هستند.

تیم علمی حاضر در این مطالعه دریافت شخصی که یک بازی ویدیویی را متوقف (pause) کرده و هنگام به سر داشتن هدست‌ EEG وارد حساب بانکی‌اش شود، در معرض خطر سرقت پسورد و دیگر اطلاعات حساس از سوی یک بدافزار قرار دارد.

دانشمندان حاضر از یک هدست EEG استفاده کردند که هم‌اکنون در دسترس کاربران آنلاین است. آنها همچنین از هدست بالینی یهره بردند که برای انجام تحقیقات علمی به کار می‌رود. محققان به دنبال بررسی این نکته بودند که چگونه یک بدافزار می‌تواند از امواج مغزی کاربر استراق سمع کند.

زمانی که کاربر در حال تایپ‌کردن است، ورودی‌های وی با پردازش دیداری‌ و همچنان دست‌ها، چشم و حرکات عضلات سرش مطابقت دارد و تمامی این حرکات توسط هدست‌های EEG شکار می‌شوند.

تیم علمی از 12 نفر خواست مجموعه‌یی از پسوردها و پین‌کدهای تصادفی را در داخل یک باکس متنی تایپ کنند گویی وارد یک حساب آنلاین می‌شدند و همزمان هم هدست EEG به سر داشته باشند. هدف از این کار این بود که بدافزار درباره چگونگی تایپ کردن کاربر و امواج مغزی متناظر با این عمل یاد بگیرد. در یک حمله واقعی، هکر می‌تواند فرآیند یادگیری دقیق موردنیاز برای بدافزار را تسهیل کند و این کار را با درخواست‌کردن از کاربر جهت وارد کردن مجموعه‌یی از ارقام از پیش تعریف‌شده برای ری استارت‌ کردن گیم پس از متوقف‌شدن آن انجام می‌دهد.

تیم علمی دریافت پس از اینکه کاربر 200 کارکتر را وارد کرد، الگوریتم‌های موجود در داخل بدافزار قادر بودند حدس‌های حرفه‌یی درباره کارکترهای جدیدی بزند که کاربر وارد می‌کرد و بدافزار این کار را با نظارت‌کردن بر داده‌های ضبط‌شده توسط EEG انجام می‌داد.

این الگوریتم‌ها قادر بودند شانس حدس زدن یک پین کد عددی چهار رقمی را از یک در 10 هزار به یک در 20 برسانند و همچنین شانس حدس‌زدن یک رمز عبور شش حرفی را از یک در 500 هزار به تقریبا یک در 500 برسانند.

تحلیل امنیت بالقوه و خطرهای مالکیت خصوصی مرتبط با فناوری تازه ظهورEEG برای افزایش آگاهی کاربران از خطرات و ارائه راهکارهایی ارزشمند درباره حملات بدافزارها حائز اهمیت است. یکی از راهکارهای بالقوه تیم علمی حاضر در این مطالعه وارد کردن نویز در هنگامی است که کاربر هنگام به سر داشتن هدست EEG رمز عبور یا پین کد را تایپ می‌کند.