Ερευνητές από το Πανεπιστήμιο της Padua, στην Ιταλία και το Πανεπιστήμιο της Καλιφόρνια, Irvine, μάντεψαν με επιτυχία τι πληκτρολόγησαν οι χρήστες με βάση τους ήχους των πληκτρολογήσεων κατά τη διάρκεια μιας Skype συνομιλίας.
Η ιδέα πίσω από αυτή την επίθεση, που ονομάζεται Skype & Type (S&T), είναι ότι οι άνθρωποι που χρησιμοποιούν το Skype voice ή τις βίντεο κλήσεις, συχνά συνεχίζουν να εργάζονται και σε άλλες εφαρμογές ενώ βρίσκονται κατά τη διάρκεια μιας Skype κλήσης.
Επειδή τα περισσότερα πληκτρολόγια είναι αρκετά δυνατά, οι ήχοι μεταδίδονται μέσα από το μικρόφωνο του υπολογιστή στον άλλο συνομιλητή, ο οποίος μπορεί εύκολα να τους καταγράψει και να τους εξάγει από το θόρυβο του περιβάλλοντος.
Η ερευνητική ομάδα λέει ότι ένας αλγόριθμος μηχανικής μάθησης μπορεί να δημιουργηθεί που θα είναι σε θέση να κατηγοριοποιήσει κάθε πλήκτρο βάσει παρόμοιων χαρακτηριστικών. Ο αλγόριθμος θα ανιχνεύει το στυλ πληκτρολόγησης του χρήστη και στη συνέχεια, θα μαντεύει με ακρίβεια ό,τι έχει να πληκτρολογήσει.
«Συγκεκριμένα, τα αποτελέσματά μας αποδεικνύουν ότι, με δεδομένη κάποια γνώση για το στυλ πληκτρολόγησης του θύματος και το πληκτρολόγιο, ο εισβολέας αποκτά top-5 ακρίβεια 91,7% στο να μαντέψει ένα τυχαίο πλήκτρο που πατιέται από το θύμα», λένε οι ερευνητές.
«Η ακρίβεια κατεβαίνει στο καθόλου καθησυχαστικό 41.89%, αν ο εισβολέας αγνοεί τόσο το στυλ πληκτρολόγησης όσο και βασικές πληροφορίες για το πληκτρολόγιο», προσθέτουν οι ερευνητές.
Επιπλέον, η ερευνητική ομάδα αναφέρει ότι η S&T επίθεση είναι αξιόπιστη, ακόμη και όταν οι bandwidth μετρήσεις της σύνδεσης στο Internet έχουν διακυμάνσεις ή όταν οι άνθρωποι μιλούν και καλύπτουν τον ήχο από το πάτημα του πλήκτρου.
Προηγουμένως, οι ερευνητές έχουν αποδείξει ότι μπορούν να καταγράφουν τους ήχους της πληκτρολόγησης και να μαντεύουν ποια πλήκτρα πατά ο χρήστης με πολύ μεγάλη ακρίβεια, χρησιμοποιώντας μικρόφωνα που τοποθετούνται κοντά στον υπολογιστή του χρήστη.
Η Skype & Type επίθεση ανοίγει την πόρτα για έναν νέο φορέα παραβίαση της ασφάλειας, μέσω VoIP ήχου και βίντεο κλήσεις. Από τεχνική άποψη, η επίθεση θα μπορούσε να μεταφερθεί σε οποιαδήποτε άλλη υπηρεσία περιέχει ήχο υψηλής πιστότητας και βίντεο κλήσεις.
