歡迎來到光錐外的世界。
50多年前,當貝爾實驗室的研究人員注意到Bell131-B2電傳終端發出的電磁尖峰時,鍵盤記錄側通道第一次出現在世人面前。在 中,我們簡單介紹了側信道攻擊以及回顧了鍵盤側信道的歷史。今天,我來帶你詳細解讀一下如何利用聲音,震動等信息還原對方鍵盤輸入的信息。
利用鍵盤敲擊聲音破解用戶輸入
目前,利用鍵盤敲擊的聲音攻擊用戶輸入主要有兩種思路。
- 利用鍵盤上每個鍵獨特的音學特徵來監測此時用戶所按動的鍵;
- 像人們用雙耳進行定位一樣,用兩個或者多個麥克風對用戶目前敲擊鍵盤置進行判定從而還原輸入。
和絕大多數研究一樣,其基本思路、概念往往很直接、很簡單,然而,如何高效地把這些簡單的想法變為現實則是研究人員能力的體現了。
以第一種思路,根據各個按鍵各自被按動時的聲音特徵進行分辨為例,當我們順著這個思路試圖還原此時用戶的輸入時,一個很直接的問題就會出現在我們面前。怎麼找出要攻擊的用戶使用的鍵盤上每個按鍵按動時的聲音特徵?對每個人、每副鍵盤、每個按鍵都用專業的設備提取音頻特徵?這顯然不現實。也許你可以對某個特定的人,比如非常高價值的目標,對他常用的一個或者兩個鍵盤測出全部按鍵的聲學特徵然後進行攻擊。不過,在這種方法下,大規模、通用的攻擊就無從談起,其意義和威脅也會小得多。
事實上,研究人員通過用監督學習方法,將通過將未知波形與訓練期間收集的已知波形進行比較來識別各個鍵。通過實驗已經證明,這種基於機器學習根據聲學相似性的方法不僅可以跨用戶, 而且可以跨不同鍵盤模型進行攻擊,使用普通麥克風在幾米的距離上,定向麥克風在十幾米的距離上,甚至,通過電話,遠程的進行能夠有效地、更一般地(不針對特定對象)對用戶鍵盤輸入進行攻擊,還原其輸入,竊取如賬號、密碼等關鍵信息。
另一種思路,通過多個麥克風,用聲學定位直接將用戶此時按動的按鍵位置進行直接定位看起來同樣十分簡單。不過,同樣的,當你想實際運用這種思路進行攻擊時你就會發現一個問題,精度。
當我們簡單地考慮這個問題時,我們往往忽略了我們聲音定位時的精度,認為聲音定位沒有任何的誤差。而事實上,在為了使我們的攻擊更有威脅、更簡單、更大範圍的實施,我們通常用手機自帶的麥克風來作為攻擊設備。而大多數智能手機上常見的44.1 kHz麥克風則會帶來約0.77 cm的定位誤差。想想看,以這0.77cm為半徑的圓在鍵盤上最多能與多少個按鍵相接觸?這就是現實帶給我們的問題。
更糟糕的還有,我們還需要考慮到很多手機只有一個麥克風的情況,在這種情況下,通過麥克風我們能獲得的只有按鍵與我們麥克風之間的相對距離而不是一個具體的方位。
研究人員面對這種這種情況,使用了在密碼破譯中常用的方法:字典。
首先,我們要知道,在英文中,不同字母的出現頻率有著很大的區別,其一般性的出現頻率已經由前人通過大量的工作計算得出。當然,漢語的輸入以及拼音的字頻也可以用相同的方法得出。
聲學定位帶來誤差結合上各個字母字頻概率上的分佈,可以大幅提高我們還原用戶輸入的準確度。而且,當用戶輸入不止一個時,我們可以通過累加等方式選出最有可能的幾個選擇,再結合這些字母組合而成的可能是有意義的單詞,通過選出有實際意義、經常使用的單詞,可以更加精準的破解用戶的輸入。
利用鍵盤敲擊震動破解用戶輸入
利用鍵盤敲擊時的震動也是一種監聽用戶輸入的方法。這種方法與利用聲音還原用戶鍵盤輸入的方法很像,不過我們這次利用的是例如和鍵盤放在同一桌面的手機等設備,利用這些設備中的加速度計而非麥克風對用戶鍵盤輸入進行監聽。
以上介紹的幾種攻擊手段具有很強的可操作性,我們無非利用自己的手機,放在離對方鍵盤不遠的地方,對對方的敲擊鍵盤發出的聲音進行錄音或者放在對方的桌子上,事後調出該時間手機加速度計的數據加以分析處理即可。或者,稍加一些難度,通過某個系統漏洞,利用對方的手機等設備,因為不幹其他破壞、干擾活動,只是記錄數據,神不知鬼不覺的就將對方的鍵盤輸入數據拿到手。甚至,更隱蔽的,在對方邊打電話邊敲鍵盤時,對通話進行錄音等手段,拿到對方的重要信息。
側信道攻擊技術往往就是這樣,通過你想不到的方式對數據進行攻擊,利用對方沒有加以防範來取得顯著的成果。
目前,面對文中介紹的這幾種鍵盤側信道攻擊手段沒有很好的防禦手段,只能儘量去用一些靜音、更小震動的鍵盤來緩解這種攻擊的效果。不過,對我們大多數人,其實不用太過多的擔心這種攻擊手段給自己帶來的威脅,一個很扎心的事實是,我們大多數人包括我在內,並沒有被此類類似間諜手段似的竊聽方法攻擊的價值,不知是幸運還是不幸。
END
參考文獻:IEEE 2018 IEEE Symposium on Security and Privacy (S&P) - San Francisco, CA, USA (2018.5.20-2018.5.24)] 2018 IEEE Symposium on Security and Privacy (SP) - SoK: Keylogging Side Channels
閱讀更多 光錐外的記錄者 的文章
