準確度95%!英國研究:AI「聽」電腦鍵盤聲可偷密碼個資

英國3所大學研究發現,利用人工智能透過視訊軟體或智慧型手機可偷聽電腦鍵盤聲音,竊取密碼準確度可達95%。(示意圖/Shutterstock)

每天打開電腦,第一個動作多半是敲打鍵盤輸入開機密碼。人工智慧(AI)進展飛速,你的隱私很可能不知不覺就奉送給駭客。英國3所大學合作研究發現,由於現今許多通訊軟體均可連結電腦設備的麥克風,駭客有辦法利用AI透過視訊會議軟體「聽」電腦使用者敲打鍵盤的聲音,藉此猜測使用者的密碼,可怕的是,準確度高達95%。

綜合美國科技新聞網站Interesting Engineering、《印度快報》報導,駭客利用AI透過通訊軟體Zoom聆聽電腦使用者打字的聲音以猜測密碼,現今電腦等裝置內建麥克風稀鬆平常,視訊會議很可能導致電腦使用者遭受網路攻擊的風險大增。研究成果已在IEEE歐洲資安與隱私工作坊研討會發表。

英國薩里大學(University of Surrey)、杜倫大學(Durham University)、倫敦大學皇家哈洛威學院(Royal Holloway, University of London)3校研究團隊建立一套透過錄音辨識筆記型電腦各個鍵盤聲音的系統。研究人員以蘋果筆記型電腦MacBook Pro測試,用不同手指與力道按下36個字母與數字按鍵,每鍵按25次,按鍵發出的聲音,同時利用視訊軟體Zoom、Skype與距離鍵盤17公分的智慧型手機iPhone 13 mini錄下,爲每個按鍵的聲音建立波形頻譜圖。

研究團隊接着訓練一臺電腦的學習系統辨識每個按鍵發出的聲音,再測試這個系統留存的數據,結果發現,透過iPhone錄下的鍵盤聲辨識準確度95%,透過Zoom錄下的準確度爲93%;若用Skype錄音,準確度也有91.7%。這種深度學習模型可透過監聽鍵盤聲音竊取使用者的名稱、密碼與其他敏感訊息,不法人士可用來開發惡意程式軟體,竊聽透過電腦鍵盤輸入的信用卡號、重要訊息、對話、個資等。

英國上述3校發表的成果並非全球首度發現可透過錄音辨識電腦鍵盤按鍵,但這個研究團隊表示,他們使用的是最先進的方法,獲得的準確度也是歷來最高。

研究報告共同作者、薩里大學研究人員託雷尼(Ehsan Toreini)說,網路攻擊與模式與時俱進,越來越多家庭使用附帶麥克風的智能設備,市面上物美價廉的高品質麥克風也很多,如何規範AI也成了有必要公開討論的重大議題。研究主持人哈里森(Joshua Harrison)特別提及,要偵測Shift這個按鍵的聲音難度很高。

研究團隊強調,這項研究只是驗證概念,尚未用於咖啡館等現實環境破解密碼,但研究結果的確凸顯了大衆應該對於AI的管理體系更加註意、加以辯論,這種「旁路攻擊」(side-channel attack)對於任何電腦鍵盤都可能構成威脅。

研究人員也據此提出降低遭受這類攻擊風險的方法,例如使用生物辨識密碼或兩階段認證系統,混合使用大小寫、數字、符號設置密碼也是個好主意。