Üç araştırmacı, tuş vuruşlarını kaydederek ve bir derin öğrenme modelini eğiterek, tek tek tuşların ses profillerine dayalı olarak uzaktaki tuş vuruşlarını yorumlamada yüzde 90'dan fazla doğruluk elde ettiklerini iddia ediyor.
Mikrofondaki tehlike
İngiliz araştırmacılar Joshua Harrison, Ehsan Toreini ve Marhyam Mehrnezhad son makalelerinde, hayatımızın pek çok alanında bulunan makine öğrenimi, mikrofon ve görüntülü arama üçlüsünün klavyeler için her zamankinden daha büyük bir tehdit oluşturduğunu öne sürüyor. Uzmanların iddiasına göre özellikle kafe, kütüphane veya ofis gibi daha sessiz kamusal alanlarda dizüstü bilgisayarların klavyelerinin kaydedilmesi daha olası. Ayrıca çoğu dizüstü bilgisayarın klavyesi birbirine benziyor ve aralarında benzer akustik profillere sahip tek tip, modüler olmayan klavye kullanıyor.
Araştırmacılar konseptlerini test etmek için 2021 model bir MacBook Pro kullandılar. Son iki yıldaki ve potansiyel olarak gelecekteki modelleriyle aynı anahtar tasarımına sahip bir klavyesi olan bu dizüstü bilgisayarda, modellerini her tuşla ilişkili dalga formları üzerinde eğitmek için her biri 25 kez olmak üzere 36 tuşa bastılar. İlk testlerinde klavyenin sesini kaydetmek için 17 cm uzaklıktaki bir iPhone 13 mini kullandılar. İkinci test için, dizüstü bilgisayar tuşlarını Zoom üzerinden, MacBook'un dahili mikrofonlarını kullanarak, Zoom'un gürültü bastırma özelliği en düşük seviyeye ayarlanmış şekilde kaydettiler. Her iki testte de yüzde 93'ün üzerinde doğruluk elde etmeyi başardılar ve telefonla kaydedilen seste doğruluk oranı yüzde 95-96'ya yaklaştı.
Peki çözüm ne?
Araştırmacılar, bir tuşun konumunun ses profilini belirlemede önemli bir rol oynadığını belirtirken, yanlış sınıflandırmaların çoğunun sadece bir ya da iki tuş uzakta olma eğiliminde olduğuna dikkat çekti. Bu nedenle, bir tuşun yaklaşık konumu göz önüne alındığında, ikinci bir makine destekli sistemin yanlış tuşları düzeltme potansiyeli güçlü görünüyor.
Peki bu tür saldırıları azaltmak için ne yapılabilir? Söz konusu Makale bu noktada birkaç ipucu veriyor:
- Yazma stilinizin değişmesi: Özellikle dokunmatik ekranda yazarak bu sorun aşılabilir
- Görüntülü aramaların iletilen sesine rastgele oluşturulmuş yanlış tuş vuruşlarının eklenmesi
- Yazılan şifreler yerine parmak izi veya yüz tarama gibi biyometrik araçların kullanılması
- Farklı anahtar tiplerine sahip mekanik klavyeler tercih edilebilir
Hassas bilgisayar verilerine yönelik ses tabanlı yan kanal saldırıları nadiren ifşa edilen ihlallerde görülse de bazen araştırmalarda görülüyor. Bilim adamları PGP anahtarlarını okumak için bilgisayar seslerini ve uzaktaki bir ekranı "görmek" için makine öğrenimi ve web kamerası mikrofonlarını kullandı. Ancak yan kanal saldırıları da gerçek bir tehdit. ABD'nin Avrupalı müttefiklerini gözetlediğini gösteren 2013 tarihli "Dropmire" skandalı büyük olasılıkla kablolar, radyo frekansları ya da ses yoluyla bir tür yan kanal saldırısı içeriyordu.
