Blog

Jun 14, 2023

Das Geräusch, das Ihre Tastenanschläge erzeugen, reicht aus, damit die KI sie stehlen kann – so bleiben Sie auf der sicheren Seite

Neuer akustischer Angriff stiehlt Passwörter direkt von Ihrer Tastatur Als ob bösartige Apps und andere Cyberbedrohungen nicht genug Grund zur Sorge wären, hat ein Forscherteam jetzt eine neue Angriffstechnik entwickelt

Neuer akustischer Angriff stiehlt Passwörter direkt von Ihrer Tastatur

Als ob bösartige Apps und andere Cyberbedrohungen nicht genug Grund zur Sorge wären, hat ein Forscherteam jetzt eine neue Angriffstechnik entwickelt, die Passwörter und andere Daten von Ihrer Tastatur stehlen kann, indem sie einfach Ihre Tastenanschläge abhört.

Wie BleepingComputer berichtet, haben Forscher mehrerer britischer Universitäten ein Deep-Learning-Modell trainiert, das in der Lage ist, Daten aus mit einem Mikrofon aufgezeichneten Tastaturanschlägen zu stehlen.

Überraschenderweise gelingt dies mit diesem neuen akustischen Angriff bereits mit einer Genauigkeit von 95 %, wenn ein neben einer Tastatur platziertes Mikrofon verwendet wird, oder mit einer Genauigkeit von 93 %, wenn Tastenanschläge über Zoom oder andere Videokonferenzsoftware aufgezeichnet werden.

Neben Ihren Passwörtern kann dieser Angriff auch dazu verwendet werden, Nachrichten oder andere vertrauliche Informationen zu stehlen, die über die Tastatur eines Opfers auf einem der besten Laptops eingegeben wurden.

Damit dieser Angriff funktioniert, muss ein Angreifer zunächst Tastatureingaben über die Tastatur eines Ziels aufzeichnen, entweder über ein nahegelegenes Mikrofon oder über ein mit Malware infiziertes Smartphone. Gleichzeitig können Tastatureingaben auch über Zoom-Anrufe oder andere Video-Chat-Apps aufgezeichnet werden.

Um das Deep-Learning-Modell darauf zu trainieren, Tastenanschläge anhand von Geräuschen zu erkennen, sammelten die Forscher hinter diesem Projekt Daten, indem sie jeweils 25 Mal 36 Tasten auf einem MacBook Pro drückten und die Geräusche, die bei jedem Tastendruck erzeugt wurden, mit einem iPhone 13 mini aufzeichneten, das 6,5 Zoll entfernt platziert war der Laptop.

Von hier aus erstellten die Forscher Wellenformen und Spektrogramme aus diesen Aufnahmen, um die Klangunterschiede zwischen den einzelnen gedrückten Tasten sichtbar zu machen. Die daraus erzeugten Spektrogrammbilder wurden dann zum Trainieren des Bildklassifikators „CoAtNet“ verwendet.

Bei der Entschlüsselung von Tastenanschlägen anhand der von ihnen erzeugten Geräusche erreichte CoAtNet eine Genauigkeit von 95 %, indem es sie mit einem Smartphone aufzeichnete, eine Genauigkeit von 93 % bei Zoom und eine geringere, aber immer noch sehr brauchbare Genauigkeit von 91,7 % bei Skype.

Laut dem von den Forschern veröffentlichten Papier (PDF) kann die Verwendung eines anderen Tippstils oder zufälliger Passwörter dazu beitragen, sich vor akustischen Seitenkanalangriffen zu schützen. Sie schlugen jedoch auch vor, weißes Rauschen oder sogar softwarebasierte Tastatur-Audiofilter im Hintergrund abspielen zu lassen, während Sie auf Ihrer Tastatur tippen.

Es spielt keine Rolle, ob Sie eine der besten mechanischen Tastaturen oder sogar eine günstigere Folientastatur verwenden, da das Deep-Learning-Modell immer noch in der Lage ist, Daten basierend auf Ihren Tastenanschlägen zu stehlen. Auch die Verwendung einer leisen Tastatur oder das Hinzufügen von Schalldämpfern zu Ihrer mechanischen Tastatur hilft nicht.

Wenn Sie befürchten, dass Hacker oder andere Dritte Ihre Passwörter aufgrund der Geräusche Ihrer Tastenanschläge stehlen könnten, sollten Sie die Verwendung eines der besten Passwort-Manager zum Speichern und automatischen Ausfüllen Ihrer Passwörter in Betracht ziehen. Aber selbst dann könnte ein akustischer Angriff genutzt werden, um Ihr Master-Passwort herauszufinden, was alle Ihre anderen Passwörter gefährdet.

In einer an Tom's Guide gesendeten Erklärung gab ein Zoom-Sprecher weitere Einblicke, wie sich Benutzer seiner Videokonferenzsoftware vor akustischen Angriffen schützen können, und sagte: „Zoom nimmt die Privatsphäre und Sicherheit unserer Benutzer ernst. Zusätzlich zu den von den Forschern vorgeschlagenen Abhilfemaßnahmen können Zoom-Benutzer auch unsere Funktion zur Unterdrückung von Hintergrundgeräuschen auf eine höhere Einstellung konfigurieren, ihr Mikrofon standardmäßig stummschalten, wenn sie einem Meeting beitreten, und ihr Mikrofon stummschalten, wenn sie während eines Meetings tippen, um zu helfen, ihre Informationen zu behalten sicherer."

Nachdem wir nun gesehen haben, dass Forscher KI nutzen, um neue akustische Angriffe zu entwickeln, werden Hacker wahrscheinlich diesem Beispiel folgen. Glücklicherweise sind sich Microsoft, Apple und andere Computerhersteller dieser Art von Angriffen bewusst und werden zweifellos daran arbeiten, Abhilfemaßnahmen gegen sie in ihre jeweiligen Betriebssysteme und Geräte einzubauen.

Sofortiger Zugriff auf aktuelle Nachrichten, die heißesten Rezensionen, tolle Angebote und hilfreiche Tipps.

Anthony Spadafora ist der Sicherheits- und Netzwerkredakteur bei Tom's Guide, wo er alles abdeckt, von Datenschutzverletzungen und Ransomware-Banden bis hin zu Passwort-Managern und der besten Möglichkeit, Ihr gesamtes Zuhause oder Unternehmen mit WLAN abzusichern. Bevor er dem Team beitrat, schrieb er für ITProPortal, während er in Korea lebte, und später für TechRadar Pro, nachdem er in die USA zurückgekehrt war. Anthony lebt in Houston, Texas, und wenn er nicht gerade schreibt, bastelt er an PCs und Spielekonsolen herum, verwaltet Kabel und rüstet sein Smart Home auf.

Diese mysteriöse neue Malware nutzt WLAN-Netzwerke, um Hackern Ihren genauen Standort mitzuteilen

Millionen von Duolingo-Benutzern sind durch gezielte Phishing-Angriffe gefährdet – prüfen Sie, ob Sie betroffen sind

Der Regisseur von „Stranger Things“ sagt, Staffel 5 werde nicht dem Beispiel des Finales von „Game of Thrones“ folgen

Von Alyse Stanley, 26. August 2023

Von Tom Wiggins, 26. August 2023

Von Tom Wiggins, 26. August 2023

Von Alan Martin, 26. August 2023

Von Alan Martin, 26. August 2023

Von Rory Mellon, 26. August 2023

Von Brittany Vincent, 26. August 2023

Von Aatif Sulleyman 25. August 2023

Von Kelly Woo, 25. August 2023

Von Ben F. Silverio, 25. August 2023

Von Simon Warren, 25. August 2023