欢迎来到光锥外的世界。
50多年前,当贝尔实验室的研究人员注意到Bell131-B2电传终端发出的电磁尖峰时,键盘记录侧通道第一次出现在世人面前。在 中,我们简单介绍了侧信道攻击以及回顾了键盘侧信道的历史。今天,我来带你详细解读一下如何利用声音,震动等信息还原对方键盘输入的信息。
利用键盘敲击声音破解用户输入
目前,利用键盘敲击的声音攻击用户输入主要有两种思路。
- 利用键盘上每个键独特的音学特征来监测此时用户所按动的键;
- 像人们用双耳进行定位一样,用两个或者多个麦克风对用户目前敲击键盘置进行判定从而还原输入。
和绝大多数研究一样,其基本思路、概念往往很直接、很简单,然而,如何高效地把这些简单的想法变为现实则是研究人员能力的体现了。
以第一种思路,根据各个按键各自被按动时的声音特征进行分辨为例,当我们顺着这个思路试图还原此时用户的输入时,一个很直接的问题就会出现在我们面前。怎么找出要攻击的用户使用的键盘上每个按键按动时的声音特征?对每个人、每副键盘、每个按键都用专业的设备提取音频特征?这显然不现实。也许你可以对某个特定的人,比如非常高价值的目标,对他常用的一个或者两个键盘测出全部按键的声学特征然后进行攻击。不过,在这种方法下,大规模、通用的攻击就无从谈起,其意义和威胁也会小得多。
事实上,研究人员通过用监督学习方法,将通过将未知波形与训练期间收集的已知波形进行比较来识别各个键。通过实验已经证明,这种基于机器学习根据声学相似性的方法不仅可以跨用户, 而且可以跨不同键盘模型进行攻击,使用普通麦克风在几米的距离上,定向麦克风在十几米的距离上,甚至,通过电话,远程的进行能够有效地、更一般地(不针对特定对象)对用户键盘输入进行攻击,还原其输入,窃取如账号、密码等关键信息。
另一种思路,通过多个麦克风,用声学定位直接将用户此时按动的按键位置进行直接定位看起来同样十分简单。不过,同样的,当你想实际运用这种思路进行攻击时你就会发现一个问题,精度。
当我们简单地考虑这个问题时,我们往往忽略了我们声音定位时的精度,认为声音定位没有任何的误差。而事实上,在为了使我们的攻击更有威胁、更简单、更大范围的实施,我们通常用手机自带的麦克风来作为攻击设备。而大多数智能手机上常见的44.1 kHz麦克风则会带来约0.77 cm的定位误差。想想看,以这0.77cm为半径的圆在键盘上最多能与多少个按键相接触?这就是现实带给我们的问题。
更糟糕的还有,我们还需要考虑到很多手机只有一个麦克风的情况,在这种情况下,通过麦克风我们能获得的只有按键与我们麦克风之间的相对距离而不是一个具体的方位。
研究人员面对这种这种情况,使用了在密码破译中常用的方法:字典。
首先,我们要知道,在英文中,不同字母的出现频率有着很大的区别,其一般性的出现频率已经由前人通过大量的工作计算得出。当然,汉语的输入以及拼音的字频也可以用相同的方法得出。
声学定位带来误差结合上各个字母字频概率上的分布,可以大幅提高我们还原用户输入的准确度。而且,当用户输入不止一个时,我们可以通过累加等方式选出最有可能的几个选择,再结合这些字母组合而成的可能是有意义的单词,通过选出有实际意义、经常使用的单词,可以更加精准的破解用户的输入。
利用键盘敲击震动破解用户输入
利用键盘敲击时的震动也是一种监听用户输入的方法。这种方法与利用声音还原用户键盘输入的方法很像,不过我们这次利用的是例如和键盘放在同一桌面的手机等设备,利用这些设备中的加速度计而非麦克风对用户键盘输入进行监听。
以上介绍的几种攻击手段具有很强的可操作性,我们无非利用自己的手机,放在离对方键盘不远的地方,对对方的敲击键盘发出的声音进行录音或者放在对方的桌子上,事后调出该时间手机加速度计的数据加以分析处理即可。或者,稍加一些难度,通过某个系统漏洞,利用对方的手机等设备,因为不干其他破坏、干扰活动,只是记录数据,神不知鬼不觉的就将对方的键盘输入数据拿到手。甚至,更隐蔽的,在对方边打电话边敲键盘时,对通话进行录音等手段,拿到对方的重要信息。
侧信道攻击技术往往就是这样,通过你想不到的方式对数据进行攻击,利用对方没有加以防范来取得显著的成果。
目前,面对文中介绍的这几种键盘侧信道攻击手段没有很好的防御手段,只能尽量去用一些静音、更小震动的键盘来缓解这种攻击的效果。不过,对我们大多数人,其实不用太过多的担心这种攻击手段给自己带来的威胁,一个很扎心的事实是,我们大多数人包括我在内,并没有被此类类似间谍手段似的窃听方法攻击的价值,不知是幸运还是不幸。
END
参考文献:IEEE 2018 IEEE Symposium on Security and Privacy (S&P) - San Francisco, CA, USA (2018.5.20-2018.5.24)] 2018 IEEE Symposium on Security and Privacy (SP) - SoK: Keylogging Side Channels
閱讀更多 光錐外的記錄者 的文章
