Serangan akustik baru mencuri data ketikan dengan akurasi 95%

 (bleepingcomputer.com)
7 poin oleh GN⁺ 2023-08-06 | 1 komentar | Bagikan ke WhatsApp
  • Tim peneliti di Inggris mengembangkan model deep learning yang mencuri data dari penekanan tombol keyboard dengan akurasi 95% menggunakan serangan akustik.
  • Akurasi model ini turun menjadi 93% saat algoritma klasifikasi suara dilatih menggunakan Zoom, tetapi angka ini tetap sangat berbahaya dan merupakan akurasi tertinggi yang pernah dicapai di bidang ini.
  • Jenis serangan ini menimbulkan ancaman besar terhadap keamanan data karena berpotensi membocorkan kata sandi, percakapan, pesan, dan informasi sensitif lainnya kepada pihak ketiga yang berniat jahat.
  • Tidak seperti serangan side-channel lain yang memerlukan kondisi tertentu serta memiliki batasan pada laju transfer data dan jarak, serangan akustik menjadi jauh lebih sederhana karena perangkat dengan mikrofon yang mampu menangkap audio berkualitas tinggi sudah sangat luas digunakan.
  • Tahap pertama serangan adalah merekam penekanan tombol dari keyboard target, yang dapat dilakukan melalui mikrofon di dekatnya, ponsel target yang terinfeksi malware, atau lewat panggilan Zoom.
  • Para peneliti mengumpulkan data pelatihan dengan merekam suara yang dihasilkan saat 36 tombol pada MacBook Pro masing-masing ditekan 25 kali.
  • Suara penekanan tombol yang direkam diubah menjadi waveform dan spektrogram, lalu digunakan untuk melatih pengklasifikasi gambar CoAtNet.
  • Para peneliti mencapai akurasi 95% dari rekaman smartphone, dan 93% dari rekaman yang ditangkap melalui Zoom. Skype menunjukkan akurasi yang lebih rendah, 91,7%, tetapi masih dapat digunakan.
  • Untuk mengurangi risiko serangan acoustic side-channel, pengguna dapat mengubah gaya mengetik, menggunakan kata sandi acak, memutar ulang suara penekanan tombol, memakai white noise, atau menggunakan filter audio penekanan tombol berbasis perangkat lunak.
  • Para peneliti menyarankan langkah pencegahan tambahan berupa penggunaan autentikasi biometrik jika memungkinkan, serta memakai password manager untuk menghindari memasukkan informasi sensitif secara manual.
  • Model serangan tersebut terbukti sangat efektif bahkan terhadap keyboard yang sangat senyap. Ini menunjukkan bahwa menambahkan peredam suara pada keyboard mekanis atau beralih ke keyboard membran kemungkinan tidak akan membantu.

Bacaan terkait

1 komentar

 
GN⁺ 2023-08-06
Komentar Hacker News
  • Artikel ini membahas serangan akustik baru yang dapat mencuri data dari ketikan dengan akurasi 95%.
  • Eksperimen dilakukan menggunakan laptop dan mikrofon yang sama untuk menghasilkan data pelatihan dan data pengujian.
  • Model dilatih dengan data yang dikumpulkan dari Zoom untuk serangan side-channel yang praktis.
  • Muncul pertanyaan apakah karakteristik akustik yang dikenali model merupakan sidik jari fisik tiap tombol atau pola resonansi di dalam keyboard/laptop, dan hal ini belum jelas.
  • Kinerja model dapat bervariasi tergantung seberapa keras tiap tombol ditekan dan jenis keyboard yang digunakan.
  • Perkembangan ini penting dari sudut pandang keamanan dan spionase karena menunjukkan bahwa bug audio sensitif pada dasarnya dapat berfungsi sebagai keylogger.
  • Beberapa perangkat lunak konferensi video, termasuk Zoom, dapat membatasi ancaman serangan ini dengan menghapus suara keyboard dari audio sebagai bagian dari fitur peredam bising.
  • Ada pertanyaan tentang kinerja model terhadap pengetik rata-rata atau cepat. Gambar contoh menunjukkan penekanan tombol setiap 0,5 detik, yang mengisyaratkan gaya mengetik tertentu.
  • Artikel ini memunculkan minat pada keyboard nirkabel yang menggunakan teknologi ini tanpa memerlukan baterai, pengisian daya, atau sinkronisasi.
  • Sebagian pembaca menyarankan penggunaan kata sandi sekali pakai sebagai solusi potensial terhadap ancaman ini.
  • Yang lain mengusulkan penyuntikan audio latar pengetikan ke panggilan Zoom sebagai langkah penanggulangan.