黑客能通過腦波竊取密碼

類別: 新奇

美國阿拉巴馬大學伯明翰分校(UAB)的研究者揭示黑客可以通過監控使用者的腦波猜測出密碼,因此腦波感測耳機,又名EEG或者腦電掃描耳機,需要更好的安全性。

EEG耳機號稱能使使用者僅使用腦波就控制機器玩具和專門研發出來用於戴上EEG耳機玩的電子遊戲,價格從150美元到800美元不等。

UAB藝術與科學學院計算與資訊科學系副教授Nitesh Saxena和博士研究生Ajaya Neupane以及前碩士研究生Md Lutfor Rahman發現,一個戴著EEG耳機的人暫停電子遊戲轉而登陸銀行賬戶,就有可能被惡意軟體程式竊取密碼或者其他敏感資訊。

黑客能通過腦波竊取密碼
credit: 煎蛋畫師PAX-12

Saxena說道:“這些新興裝置為日常使用者們提供了廣闊的機遇。但是,隨著各大公司研究更先進的腦機介面技術,這些裝置也會引發嚴重的安全性和隱私威脅。”

Saxena和他的團隊使用一套目前消費者可買到的EEG耳機和一個臨床級耳機進行科學研究,以演示惡意軟體程式能多麼輕易地被動竊聽使用者的腦波。在打字的時候,使用者的輸入對應於他們的視覺處理和手、眼以及頭部肌肉移動。所有這些移動都被EEG耳機捕捉到。團隊令12個人將一系列隨機產生的PIN碼和密碼輸入到文字框中,就像是他們正戴著EEG耳機登陸網上賬戶一樣,藉此令軟體自身根據使用者的輸入和響應的腦波進行訓練。

Saxena說道:“在實際的攻擊中,黑客可能要求使用者輸入預先設定的數字集以在暫停後重啟遊戲,類似於CAPTCHA驗證使用者登入網站的手段,利用這一訓練步驟使得惡意程式達到最準確的效能。”

團隊發現,在使用者輸入200字元之後,惡意程式內的演算法就能通過監控記錄的EEG資料有根據地猜測使用者輸入的新字元。這一演算法能將黑客猜中四位數字PIN碼的機率從萬分之一縮小到20分之1,並將猜中6位字母密碼的機率從50萬分之1縮小到500分之1。

EEG被用於醫療領域已經50多年了,作為非侵入式方式記錄腦部電活動。將電極放置在頭皮上檢測腦波。EEG機器然後放大訊號,並以波的形式將其記錄在圖紙或者計算機中。EEG能與腦機介面相結合使人控制外部裝置。這一技術曾一度非常昂貴,大多用於科研,比如神經義肢技術幫助殘疾人通過想象移動來控制義肢。但現在已經以無線耳機的形式面向消費者和市場了,並在遊戲和娛樂產業愈加流行。

Saxena說道:“鑑於EEG耳機不斷增長的流行性和使用方式的多樣性,這將不可避免地成為我們日常生活的一部分,包括使用其他裝置。分析潛在的安全性和隱私風險來提高使用者對風險的意識,研發應對惡意攻擊更可靠的解決方案至關重要。”

Saxena和他的團隊提出的一個可能解決方案是在使用者戴著EEG耳機輸入密碼或者PIN碼的任意時間插入噪聲。

站內相關閱讀:用你獨特的大腦設計終極安全密碼

論文原文:PEEP: Passively Eavesdropping Private Input via Brainwave Signals

本文譯自phys,由譯者CliffBao基於創作共用協議(BY-NC)釋出。Tiffany Westry Womack

黑客能通過腦波竊取密碼原文請看這裡