La sicurezza informatica è una preoccupazione crescente in un’era sempre più digitalizzata. Un recente studio ha rivelato un nuovo tipo di attacco che sfrutta il deep learning per decifrare i tasti premuti su un laptop attraverso l’audio registrato da un telefono nelle vicinanze.
Dettagli sull’attacco
Gli accademici hanno sviluppato un “attacco laterale acustico basato sul deep learning” in grado di classificare i tasti premuti su un laptop registrando l’audio con un telefono vicino con una precisione del 95%. Quando addestrato su tasti registrati utilizzando il software di videoconferenza Zoom, l’accuratezza raggiungeva il 93%, stabilendo un nuovo record per il mezzo.
Gli attacchi laterali si riferiscono a una classe di exploit di sicurezza che mirano a ottenere informazioni da un sistema monitorando e misurando i suoi effetti fisici durante l’elaborazione di dati sensibili. Alcuni degli effetti osservabili comuni includono comportamento in tempo reale, consumo energetico, radiazioni elettromagnetiche, acustica e accessi alla cache.
Sebbene non esista un’implementazione completamente esente da attacchi laterali, attacchi pratici di questo tipo possono avere gravi conseguenze per la privacy e la sicurezza degli utenti, poiché potrebbero essere utilizzati da un attore malintenzionato per ottenere password e altri dati confidenziali.
Metodologia e contro misure
Per effettuare l’attacco, i ricercatori hanno condotto esperimenti in cui sono stati utilizzati 36 tasti del MacBook Pro di Apple, con ogni tasto premuto 25 volte di seguito, variando in pressione e dito. Queste informazioni sono state registrate sia tramite un telefono vicino al laptop sia tramite Zoom.
La fase successiva ha comportato l’isolamento dei singoli tasti premuti e la loro conversione in un mel-spettogramma. Su questo è stato eseguito un modello di deep learning chiamato CoAtNet per classificare le immagini dei tasti premuti.
Come contromisure, i ricercatori suggeriscono di cambiare lo stile di digitazione, utilizzare password casuali invece di password contenenti parole intere e aggiungere falsi tasti premuti generati casualmente per gli attacchi basati su chiamate vocali.