似乎有一个永无止境的黑客窃取我们的密码的新方法。在网络钓鱼电子邮件之间,蛮力密码攻击或增加 pc蛋蛋软件下载官方网站协议攻击 —好吧,事实证明,很长一段时间了,黑客已经能够弄清楚你在键盘上打字的东西,只是通过听它产生的声音。

事实上,即今年,一项研究进入了窃听世界深处的潜水。更具体地说,研究标题为“Don’t Skype &类型!声音窃听的声音窃听!”仔细看看声学窃听的旧概念如何采用近代近代的巨大威胁。

我们很震惊地听到这种新的攻击方法,并希望仔细看看这项研究’s findings. So let’s dig in.

声学是什么?

声学窃听ISN的想法’令人难以置信的革命性。事实上,该研究指的是一些以前的观察概念。甚至在1943年回到了1943年,贝尔电话工程师发现了类似的现象,这几乎没有与攻击者可以做的现代技术。

但是声学窃听是什么?嗯,这个概念很基本:

只需通过录制和分析键盘的声音,每次按下不同的键,某人都可以完全查明您的键入。

现实是,每个键盘和每个钥匙媒体都呈现出不同的声音。攻击者可以使用这些声音来组装字母表,然后将几乎完全解密您基于该字母表的键入。

具有新技术的新威胁

在过去,这一般并不是一个重要的问题—大多数技术需要太多信息,或所需的攻击者可以对受害者进行物理访问’S设备。例如,以前的声学窃听的尝试将要求攻击者将麦克风放在受害者附近’s keyboard.

因此,虽然声学窃听已经成为一个很长一段时间的真正威胁,但它一直非常罕见。进入的障碍,如果你愿意,对于大多数攻击者或黑客来说都太大了。除了问题现在是一个复合的:我们的很多设备都有内置麦克风。在类似于笔记本电脑,网络摄像头甚至平板电脑的内置麦克风的任何内容可能是最具风险的设备。所以,如果您的业务颁布A. BYOD政策 ,这项研究可能对您感兴趣。

然而,现在更大的问题是pc蛋蛋软件下载官方网站的引入和普及。我们’请触摸下面。首先,了解我们的一些定义’re discussing.

了解语言

正如该研究所做的那样,在我们跳进细节之前,它可能有助于定义一些关键术语。 arvix.’S研究在深度攻击模型中解释,以及多种分析技术。但是,为了保持简单,我们’重新关注我们需要清除的关键方面。

图1:攻击设备和目标设备

根据该研究,攻击的不同用户和方面如下:

  • 攻击者: 无论是在进行攻击,一般都有恶意的意图获取他们无法访问的信息。
  • 受害者: 自我解释,但受害者是被攻击的人,并在打字窃听。
  • 攻击设备: The attacker’S设备。该研究将设备指定为桌面或笔记本电脑,并排除智能手机和平板电脑。
  • 目标设备:   这是攻击者为目标的设备。虽然受害者将使用此设备,但其当然不会’T必须是他们的个人机器,但可以是工作设备。
  • 目标文本: 受害者在其设备上键入的信息,因此攻击者正在搜索目标信息。
  • 网络连接: 众所周知,pc蛋蛋软件下载官方网站通过互联网进行我们的语音数据。这当然是重要的,因为它是如何运作的,而且因为如何通过互联网传输数据,它是什么使Skype和类型攻击成为可能。

基本上,攻击者是“旨在学习有关受害者的一些私人信息的恶意用户。 ”为了本研究的简单性,假设攻击者和受害者也将使用相同精确pc蛋蛋软件下载官方网站软件的正版,未修改或更改版本。

专门为这项研究,他们看着Skype,并推断给谷歌环聊。但这可以很容易地携带到任何其他受欢迎的pc蛋蛋软件下载官方网站应用程序中。

又怎样’s It Even Work?

实际上,声学窃听—或者更现代的Skype和类型攻击—真的很复杂。我们已经了解这个概念:攻击者记录受害者的声音’S键盘在pc蛋蛋软件下载官方网站呼叫中按一下键时使其键。但这个过程比这更复杂。

收集数据

总的来说,正如我们之前所说的那样,这些旧的攻击风格需要攻击者对目标设备的物理访问。攻击者必须简单地将麦克风放在受害者旁边’S键盘,并在呼叫期间录制击键。当然,这也可以在他们逃避时工作’t在电话上。所以,不是每个人都可以进入你的办公室,但让我们的秘书想知道一些重要信息—它们可以轻松访问您的设备,可以简单地隐藏在堆栈堆栈下的麦克风。

因此,我们可以假设访问可用,并记录您的密钥笔划。那’在这里的关键因素,一旦攻击者获得访问权限,他们就可以收集数据。除了他们收集的数据’我说,当我说的话,它的键盘时,它的声音就是按下任何按钮。

 幅度图

一旦攻击者收集所有这些数据和信息,它就好像他们会看到声音峰值,并且立即知道按下了什么键。所以那是什么’s next?

了解数据

好吧,攻击者收集受害者后’S击键数据,攻击者将需要利用先进的分析技术来理解这一切。这归结为科幻声音音响技术“监督或无监督的机器学习” and “triangulation.”

几乎,AI帮助攻击者转动随机键单击声音进入使用能够的信息字符串,例如将您输入的密码键入您的Gmail帐户以检查您的电子邮件,同时持有正常对话。你知道,正常的事情正常人每天都能做。

除了外,单独的AI不明白击键是什么,或者知道如何解密键入否则,通用单击和泄密声音。那’在哪里额外的步骤和一层分析。

复杂,但足够严重担心

仿佛物理访问目标设备,而且强大的AI ISN’t足够,数据与现有数据库相比只能使用攻击者增益。如果攻击者可以访问流行键盘的现有数据库,并且声音键盘使得它们可以匹配他们从您已经知道的信息的电话呼叫中获取的数据。

想到这一点,好像他们正在破解代码:你的信息是一系列刻度线,而是点击,但每个勾选并单击直接对应于键盘上的键。如果攻击者知道声音的声音“A”键在MacBook Pro键盘上按下时,攻击者知道他们的受害者正在使用MacBook Pro,他们可以填写拼图的碎片。

攻击比你想象的更成功

这是一点双刃剑。一方面,您将单独认为这种障碍,需要参考数据库,足以阻止大多数攻击。你将是正确的,技术上,大多数攻击都停止了。该研究规定,没有按键的数据库进行比较,攻击者只能猜测40%的准确性击键。所以大多数人被阻止,但是让我们诚实,40%仍然是一个非常高的数字。

真正的可怕部分?当攻击者确实有一个参考数据库时,那么准确率均可均可达到91.7%。

因此,当一切都匹配时,系统证明是相当准确的–但是墙壁爬到获得必要的信息太高。整个过程被称为“keystroke profiling,”并且确实比这更复杂,但总体而言,主要关注的是专门保护键盘。

新的攻击风格–远程键盘自闭症窃听

除了本文的全部前提是周围的一个完全新的攻击方法,一个更容易跟进的。一个不再需要对目标设备的物理访问的一个,以及麦克风或访问设备’s microphone.

这种新的攻击形式仍然在声学窃听的同一概念下落下,但它在Skype和类型名称来自的地方。还称为远程键盘自闭症窃听,这种新形式的声学窃听甚至更担心一些原因:

  • 攻击者不需要对目标设备的物理访问或控制。
  • Skype和类型攻击将使用以前尝试的更有限的击键数据。
  • 这些攻击利用您使用的确切pc蛋蛋软件下载官方网站软件,而不是外部麦克风或传感器。这不是安全缺陷,而是利用pc蛋蛋软件下载官方网站如何工作。

那’S真正可怕的部分,即使没有直接访问你的机器,患有恶意意图的人都可以简单地使用自己的pc蛋蛋软件下载官方网站应用程序。现在给出的最大示例是Skype和Google Hoogouts,但这很容易转换为其他流行的解决方案。那么这种新的攻击形式是如何工作的,没有麦克风在你的击键上听?

嗯,正如我简要解释的那样,攻击者只是对受害者使用pc蛋蛋软件下载官方网站软件。再次根据研究,“除了pc蛋蛋软件下载官方网站软件发送到攻击设备,攻击者没有从受害者接收额外的声学信息。”

而不是放置在受害者附近的麦克风’S键盘,攻击者能够从pc蛋蛋软件下载官方网站应用程序传输的数据中提取这些微小的小键单击声音。

所以实际上,如果耳机,IP桌面电话或其他方式,这只是一个问题 有用的Skype附加设备 您用于pc蛋蛋软件下载官方网站的敏感性足以听到您在键盘上击中。但是你’D都感到惊讶,也有多容易,以及可以从这种微小的小声音中提取多少信息。

简单的措施可以走很长的路

谈到互联网安全性时,我持有强大的立场,每个人都应该以某种方式练习安全浏览。即使你 ’RE在MAC上,或iPhone,浏览您的工作电子邮件或新闻。它比你想到攻击者可以进入您的设备,并利用某种方式控制您或您的业务的方式更容易。

最简单的安全实践可以真正能够缓解您的连接,或阻止不必要的眼睛撬开您的重要信息。即使您的网络被数百人隐藏起来 硬件防火墙 ,一个正确定时的Skype和类型攻击将渲染任何防御性修复。在防止Skype和类型攻击方面,有些基本实践可以使用任何人,以及一些更先进的软件保护。

一般来说,如果您正在讨论一些非常重要和敏感​​的信息,您可能不应该在未加密的Skype调用中共享此类信息。这至少应该是常识。但是,我们都是人类,很容易忘记,或者只是不了解威胁的严重程度。

对于初学者来说,保护自己免受远程声学窃听的最简单方法是:

  • 简单地,在Skype或pc蛋蛋软件下载官方网站呼叫时,请勿键入物理键盘。就那么简单。如果你不’t键入任何东西,攻击者没有’T有任何信息窃取。
  • 如果需要键入,请利用软件键盘:大多数机器,Windows和Mac,允许用户在其屏幕上显示虚拟键盘,要求用户单击鼠标的字母。这只是防止键盘声音。
  • 如果您需要键入,但不能使用软件键盘,在键入时静音麦克风。这通常可以通过pc蛋蛋软件下载官方网站应用程序上的软静音按钮或大多数包含在线静音按钮来完成 耳机 桌面手机 .
  • 通过登录在放置或接收呼叫之前,通过登录您需要的所有关键应用程序来防止键入的需要。
  • 使用将自动填写登录表单的密码管理器。密码管理器对于任何尝试提高密码安全性的人来说都是一个很好的工具,并允许您在没有键入的pc蛋蛋软件下载官方网站呼叫期间登录服务。

在一天结束时,这种反措施将是您的pc蛋蛋软件下载官方网站呼叫最少的侵略性。少打字意味着减少干扰,所以它几乎是一个双赢。但是,我们很容易让我们进入舒适的例程,或者只是忘记静音我们的麦克风,或者讨厌点击虚拟键盘。因此,对于更多技术用户,可以利用一些先进的技术。除了保护您的网络和 与VPN的远程连接,那些会包括:

  • 什么是所谓的“Ducking” technique –软件或手动用户可以降低麦克风卷,并且当检测到击键时,甚至用完全不同的声音重叠。然而,如此问题的是,它不仅需要训练有素的用户可以找到,实现和利用此解决方案,但它可以很容易地降低您的呼叫质量。如果软件消除了重要的演示文稿,而不是关键笔画怎么办?
  • 隐藏您的击键的另一种复杂的技术将是预成型的“短随机转换”在检测到击键时产生的声音。要简单地说,软件将检测击键并改变击键的强度和特定频率。本质上,软件在传输中改变了击键的声音。所以攻击者收到的键盘实际上的声音不是相同的声音。

大学教师’t Skype and Type!

在一天结束时,最容易遵循的建议,保持自己,以及信息,安全就是唐’T型和Skype。现在,机会是普通人不必担心声学窃听。事实上,普通用户不必非常关注整体安全性。

但事实上,现实情况是,有攻击者在那里试图赚钱,或者无论如何都可以找到竞争优势。即使这意味着一个简单的赎金软件攻击,持有您的至关重要的商业信息的人质,也要求支付一大笔量的现金。

不是每个人都应该开始恐慌并担心他们的密码被窃取通过电话被盗,但值得理解存在的不同方法存在,以及如何保持安全。