هکرها میتوانند رمز عبور را از امواج مغزی سرقت کنند
دیلیمیل دانشمندان دریافتهاند هکرها میتوانند از امواج مغزی برای سرقت رمزهای عبور استفاده کنند.
تیمی از محققان دانشگاه آلاباما دریافتهاند هدستهای حسگر امواج مغزی موسوم به هدستهای الکتروانسفالوگرافی (EEG) کاربران را در معرض خطر سرقت رمزهای عبورشان قرار میدهند. این هدستها به عنوان ابزار پزشکی و کنترلرهای گیم کاربرد دارند و بهای آنها از 150 تا 800 دلار است.
«نیتش ساکسنا» (Nitesh Saxena)، دانشیار گروه رایانه و علوم اطلاعات در دانشگاه آلاباما، گفت: این ابزارها فرصتهای بیشماری پیش روی کاربران قرار دادهاند با این حال خطرهای امنیتی به وجود میآورند و شرکتها به دنبال توسعه نسخههای پیشرفتهتر این فناوری رابط رایانه و مغز هستند.
تیم علمی حاضر در این مطالعه دریافت شخصی که یک بازی ویدیویی را متوقف (pause) کرده و هنگام به سر داشتن هدست EEG وارد حساب بانکیاش شود، در معرض خطر سرقت پسورد و دیگر اطلاعات حساس از سوی یک بدافزار قرار دارد.
دانشمندان حاضر از یک هدست EEG استفاده کردند که هماکنون در دسترس کاربران آنلاین است. آنها همچنین از هدست بالینی یهره بردند که برای انجام تحقیقات علمی به کار میرود. محققان به دنبال بررسی این نکته بودند که چگونه یک بدافزار میتواند از امواج مغزی کاربر استراق سمع کند.
زمانی که کاربر در حال تایپکردن است، ورودیهای وی با پردازش دیداری و همچنان دستها، چشم و حرکات عضلات سرش مطابقت دارد و تمامی این حرکات توسط هدستهای EEG شکار میشوند.
تیم علمی از 12 نفر خواست مجموعهیی از پسوردها و پینکدهای تصادفی را در داخل یک باکس متنی تایپ کنند گویی وارد یک حساب آنلاین میشدند و همزمان هم هدست EEG به سر داشته باشند. هدف از این کار این بود که بدافزار درباره چگونگی تایپ کردن کاربر و امواج مغزی متناظر با این عمل یاد بگیرد. در یک حمله واقعی، هکر میتواند فرآیند یادگیری دقیق موردنیاز برای بدافزار را تسهیل کند و این کار را با درخواستکردن از کاربر جهت وارد کردن مجموعهیی از ارقام از پیش تعریفشده برای ری استارت کردن گیم پس از متوقفشدن آن انجام میدهد.
تیم علمی دریافت پس از اینکه کاربر 200 کارکتر را وارد کرد، الگوریتمهای موجود در داخل بدافزار قادر بودند حدسهای حرفهیی درباره کارکترهای جدیدی بزند که کاربر وارد میکرد و بدافزار این کار را با نظارتکردن بر دادههای ضبطشده توسط EEG انجام میداد.
این الگوریتمها قادر بودند شانس حدس زدن یک پین کد عددی چهار رقمی را از یک در 10 هزار به یک در 20 برسانند و همچنین شانس حدسزدن یک رمز عبور شش حرفی را از یک در 500 هزار به تقریبا یک در 500 برسانند.
تحلیل امنیت بالقوه و خطرهای مالکیت خصوصی مرتبط با فناوری تازه ظهورEEG برای افزایش آگاهی کاربران از خطرات و ارائه راهکارهایی ارزشمند درباره حملات بدافزارها حائز اهمیت است. یکی از راهکارهای بالقوه تیم علمی حاضر در این مطالعه وارد کردن نویز در هنگامی است که کاربر هنگام به سر داشتن هدست EEG رمز عبور یا پین کد را تایپ میکند.