Hoe AI naar je getyp kan luisteren en je geheimen kan ontfutselen

IN HET KORT

Het verontrustende tijdperk van de 'fluistertoetsen', waarin kunstmatige intelligentie het geluid van het typen ontcijfert om in het geheim persoonlijke informatie te verkrijgen. Met technologie die in staat is toetsaanslagen te onderscheppen, kan gevoelige informatie uitlekken, zelfs als je vertrouwen hebt in je beveiliging. Het is een lastig kruispunt van geluid, privacy en AI, dat de noodzaak onderstreept van een verhoogd bewustzijn en betere beveiliging in het digitale tijdperk.

In dit tijdperk van digitalisering komt cybercriminaliteit steeds vaker voor. Het domein van cyberbeveiliging wordt voortdurend achtervolgd door verschillende bedreigingen, zoals phishingaanvallen, malware-infecties en wachtwoorddiefstal, om er maar een paar te noemen.

Er is echter een nieuw en verontrustend gevaar opgedoken als gevolg van de snelle vooruitgang in kunstmatige intelligentie.

Kunstmatige intelligentie is nu in staat om typegeluiden te onderscheiden en vervolgens de getypte tekst te ontcijferen.

Deze vorm van aanvallen, bekend als akoestische side-channel attacks, vormt een opkomende maar significante bedreiging voor het digitale domein. Experts maken zich zorgen dat videoconferentie platforms zoals Zoom en het regelmatige gebruik van ingebouwde microfoons deze risico’s exponentieel vergroten.

Prominente onderzoekers zoals Joshua Harrison, Ehsan Toreini en Maryam Mehrnezhad benadrukken dat door recente ontwikkelingen in deep learning en de toename van online activiteiten via persoonlijke apparaten, de dreiging van dit type aanvallen groter is dan ooit tevoren.

Hoe werkt akoestisch afluisteren?

Het mechanisme dat ten grondslag ligt aan de akoestische aanval bestaat uit de ingewikkelde toewijzing van getypte letters aan de auditieve emissies die worden gegenereerd door toetsaanslagen.

Telkens wanneer een toets wordt ingedrukt, zendt deze een kenmerkende akoestische signatuur uit, een complex samenspel van factoren zoals de activering van de toetsschakelaar, het indrukken van het toetskapje zelf, de duur van het resulterende geluid en zelfs de intervallen tussen opeenvolgende toetsaanslagen.

Door dit alles produceert elke toets op een toetsenbord een subtiel uniek geluidsprofiel wanneer hij wordt aangeslagen. Dit is onmerkbaar voor het menselijk oor, maar geeft waardevolle informatie over de specifieke toetsaanslagen die worden uitgevoerd.

Opmerkelijk genoeg zijn geavanceerde kunstmatige intelligentiesystemen in staat om deze symfonie van typegeluiden te ontcijferen.

Door het analyseren van audio-opnames die deze schijnbaar alledaagse auditieve signalen vastleggen, kan het AI-systeem de exacte letters, symbolen en cijfers reconstrueren die werden getypt.

Een verontrustend aspect van deze techniek is dat elk apparaat met een microfoon potentieel slachtoffer kan worden van deze vorm van heimelijke surveillance. Of het nu een laptop, smartphone of ander apparaat met audio-invoermogelijkheden is.

Het AI-systeem, zoals geëvalueerd door onderzoekers van de universiteiten van Londen, Durham en Surrey, liet een indrukwekkend prestatieniveau zien. Toen het systeem werd getest op het toetsenbord van een MacBook Pro, liet het een opmerkelijke nauwkeurigheid van 93-95% zien. De vaardigheid lag in het identificeren van de exacte toetsen die werden ingedrukt, uitsluitend door analyse van de bijbehorende geluidsopnames.

Onderzoek naar de bedreigingen van akoestische aanvallen

De opkomst van akoestische indringers, mogelijk gemaakt door het vermogen van kunstmatige intelligentie om toetsaanslagen te ontcijferen uit typegeluiden, is een zorgwekkende aanvalsvector geworden.

De wijdverspreide toepassing van videoconferentie apps zoals Zoom, MS-Teams en Skype tijdens de toename van werk op afstand heeft het risico op akoestisch afluisteren vergroot. Met name het aantal gebruikers van Zoom schoot omhoog van 10 miljoen in 2019 naar meer dan 300 miljoen in 2020, alleen al tijdens de pandemie.

Moderne microfoons in apparaten kunnen moeiteloos typegeluiden opvangen en doorsturen naar AI-surveillancetools. Dit verhoogt de dreiging van akoestische aanvallen aanzienlijk. Het maakt diefstal van gevoelige gegevens zoals wachtwoorden, financiële gegevens, creditcardgegevens en vertrouwelijke berichten mogelijk.

Vaak spreken gebruikers onbewust vertrouwelijke informatie uit, terwijl ze bezig zijn met audio/video-gesprekken, zich onbewust van het feit dat een alomtegenwoordige microfoon duidelijke typegeluiden uitzendt.

Door hier misbruik van te maken, kunnen aanvallers eenvoudige spraakherkenningsalgoritmen gebruiken om deze audiostromen te doorzoeken, stemmen te scheiden en typegeluiden te extraheren. Mensen gebruiken tegenwoordig ook technologieën om ruis te onderdrukken. Deze technologieën verbeteren de gesprekskwaliteit verder door achtergrondruis te elimineren en de ontvangst van akoestische toetsaanslagen te verduidelijken. Het spectrum van risico’s in verband met akoestische spionage breidt zich uit en treft zowel individuen als hele bedrijfsnetwerken.

Enkele gebieden waar deze aanvallen gebruikt kunnen worden:

  • Gevoelige financiële en vertrouwelijke gegevens kunnen worden gecompromitteerd, met inbegrip van, maar niet beperkt tot burgerservicenummers, creditcardgegevens, bankrekeninggegevens en wachtwoorden. Dergelijke inbreuken kunnen mogelijk bijdragen aan identiteitsdiefstal en verschillende vormen van financiële fraude.
  • Cybercriminelen kunnen de hoofdsleutels van wachtwoordbeheerders akoestisch onderscheppen, waardoor ze hele identiteitsdatabases binnen een organisatie kunnen ontsleutelen.
  • Bij spionage aanvallen op een bedrijf worden bedrijfsplannen, vertrouwelijke bedrijfsinformatie en financiële details heimelijk afgeluisterd.
  • Reclametechnologiebedrijven hebben de mogelijkheid om clandestien uitgebreide persoonlijke en gedragsgegevens te verzamelen door heimelijk het typgedrag van gebruikers te volgen.
  • Alle persoonlijke informatie loopt een groot risico, inclusief intieme details die blootgelegd of verhandeld kunnen worden. Dit vormt een bedreiging voor professionals zoals politici, journalisten en advocaten en kan leiden tot schaamte en reputatieschade.

Hoe bescherm je jezelf?

Waakzaamheid en voorzichtigheid van de gebruiker staan voorop bij het beschermen van iemands privacy.

Bij videochatapplicaties is het noodzakelijk om de microfoons goed te beheren, anomaliedetector in te zetten, encryptie toe te passen en speciaal gebouwde fysieke microfoonblokkades te gebruiken. Deze zijn allemaal bedoeld om akoestische afluistermogelijkheden effectief te voorkomen.

Hieronder volgen enkele van de beveiligingsmaatregelen die moeten worden gevolgd.

  • Gebruik sterk gerandomiseerde en sterke wachtwoorden.
  • Voer wachtwoorden stil in.
  • Activeer twee-factor of multifactor authenticatie.
  • Gebruik geluidsmaskeerders.
  • Voer geen gevoelige informatie in tijdens videogesprekken.
  • De voorkeur geven aan toetsenborden met akoestische afscherming.
  • Gebruik aanraakgevoelige toetsenborden.
  • Omgevingsgeluiden gebruiken.

Moeten we ons echt zorgen maken?

Hoewel het risico voortdurend aanwezig is, is onze bezorgdheid misschien niet zo groot als het in eerste instantie klinkt.

Ten eerste is de effectiviteit van dergelijke methoden sterk afhankelijk van het verkrijgen van een geschikte en duidelijke set voorbeeldgegevens, een criterium dat verschilt per systeem, zoals smartphones, tablets, MacBooks of externe toetsenborden.

Een ander aspect dat van invloed is, is de manier waarop iemand typt. Dit kan variëren van het krachtig indrukken van toetsen tot zachte aanrakingen. Deze variatie in geluidsdynamiek kan een uitdaging vormen voor de precisie van geluidsopnameapparatuur. Het wordt dan ook een complexe onderneming om een nauwkeurige dataset samen te stellen die overeenkomt met je unieke typepatronen en toetsenbord.

Bovendien is het interpreteren van de opeenvolging van opgenomen geluiden en het onderscheiden van elementen zoals wachtwoorden en e-mailadressen een enorme uitdaging. Sommige AI-modellen kunnen ook problemen ondervinden bij het onderscheiden van specifieke toetsen zoals ‘Shift’ of ‘Ctrl’.

Conclusie

De opkomst van aanvallen via akoestische side-channels betekent een potentieel transformatieve verschuiving binnen het domein van cyberbedreigingen. Deze technieken van akoestisch afluisteren tarten de grondslagen van privacy en vertrouwelijkheid tijdens het invoeren van gegevens.

Terwijl gebruikers zich gerustgesteld kunnen voelen wanneer visuele toegang beperkt is, kan het interpreteren van toetsgeluiden zogenaamd veilige omgevingen in gevaar brengen.

Algoritmen voor machine learning, die getraind zijn op audiofragmenten van het typen, vertonen een verbazingwekkende vaardigheid in het extraheren van tekstuele informatie.

Uit verschillende onderzoeken is gebleken dat de nauwkeurigheid van het isoleren van toetsaanslagen uit alleen audiogegevens meer dan 90% bedraagt. Om dit probleem aan te pakken, moeten er innovatieve en zeer geavanceerde defensieve strategieën worden geïmplementeerd.

Gerelateerde begrippen

Kaushik Pal

Kaushik is een technisch architect en software consultant met meer dan 20 jaar ervaring in software analyse, ontwikkeling, softwarearchitectuur, ontwerp, testen en training. Hij is geïnteresseerd in nieuwe technologieën en innovatiegebieden. Hij richt zich op webarchitectuur, webtechnologieën, Java/J2EE, open source, WebRTC, Big Data en semantische technologieën. Kaushik is ook de oprichter van TechAlpine, een technologieblog/consultancy gevestigd in Kolkata. Het team van TechAlpine werkt voor verschillende klanten in India en daarbuiten. Het team heeft expertise in Java/J2EE/Open Source/Web/WebRTC/Hadoop/Big Data technologieën en het schrijven van technische artikels.