黑客能通過腦波竊取密碼

美國阿拉巴馬大學伯明翰分校(UAB)的研究者揭示黑客可以通過監控用戶的腦波猜測出密碼，因此腦波感測耳機，又名EEG或者腦電掃描耳機，需要更好的安全性。

EEG耳機號稱能使用戶僅使用腦波就控制機器玩具和專門研發出來用於戴上EEG耳機玩的電子遊戲，價格從150美元到800美元不等。

UAB藝術與科學學院計算與信息科學系副教授Nitesh Saxena和博士研究生Ajaya Neupane以及前碩士研究生Md Lutfor Rahman發現，一個戴著EEG耳機的人暫停電子遊戲轉而登陸銀行賬戶，就有可能被惡意軟體程序竊取密碼或者其他敏感信息。

credit: 煎蛋畫師PAX-12

Saxena說道：「這些新興設備為日常用戶們提供了廣闊的機遇。但是，隨著各大公司研究更先進的腦機介面技術，這些設備也會引發嚴重的安全性和隱私威脅。」

Saxena和他的團隊使用一套目前消費者可買到的EEG耳機和一個臨床級耳機進行科學研究，以演示惡意軟體程序能多麼輕易地被動竊聽用戶的腦波。在打字的時候，用戶的輸入對應於他們的視覺處理和手、眼以及頭部肌肉移動。所有這些移動都被EEG耳機捕捉到。團隊令12個人將一系列隨機產生的PIN碼和密碼輸入到文本框中，就像是他們正戴著EEG耳機登陸網上賬戶一樣，藉此令軟體自身根據用戶的輸入和響應的腦波進行訓練。

Saxena說道：「在實際的攻擊中，黑客可能要求用戶輸入預先設定的數字集以在暫停後重啟遊戲，類似於CAPTCHA驗證用戶登錄網站的手段，利用這一訓練步驟使得惡意程序達到最準確的性能。」

團隊發現，在用戶輸入200字元之後，惡意程序內的演算法就能通過監控記錄的EEG數據有根據地猜測用戶輸入的新字元。這一演算法能將黑客猜中四位數字PIN碼的幾率從萬分之一縮小到20分之1，並將猜中6位字母密碼的幾率從50萬分之1縮小到500分之1。

EEG被用於醫療領域已經50多年了，作為非侵入式方式記錄腦部電活動。將電極放置在頭皮上檢測腦波。EEG機器然後放大信號，並以波的形式將其記錄在圖紙或者計算機中。EEG能與腦機介面相結合使人控制外部設備。這一技術曾一度非常昂貴，大多用於科研，比如神經義肢技術幫助殘疾人通過想像移動來控制義肢。但現在已經以無線耳機的形式面向消費者和市場了，並在遊戲和娛樂產業愈加流行。

Saxena說道：「鑒於EEG耳機不斷增長的流行性和使用方式的多樣性，這將不可避免地成為我們日常生活的一部分，包括使用其他設備。分析潛在的安全性和隱私風險來提高用戶對風險的意識，研發應對惡意攻擊更可靠的解決方案至關重要。」

Saxena和他的團隊提出的一個可能解決方案是在用戶戴著EEG耳機輸入密碼或者PIN碼的任意時間插入雜訊。

站內相關閱讀：用你獨特的大腦設計終極安全密碼

論文原文：PEEP: Passively Eavesdropping Private Input via Brainwave Signals

本文譯自 phys，由譯者 CliffBao 基於創作共用協議(BY-NC)發布。Tiffany Westry Womack

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！