Pesquisadores identificaram falha que permite que atacantes descubram o que você digita no seu Mac com base no som das teclas do teclado
Uma equipe de pesquisadores do Reino Unido, baseada na Universidade de Durham, identificou uma falha que pode permitir que atacantes descubram o que você está digitando no seu MacBook Pro – com base no som que cada tecla do teclado produz.
Esse tipo de ataque não é particularmente novo. Os pesquisadores encontraram investigações datadas da década de 1950 sobre o uso da acústica para identificar o que as pessoas escrevem. Eles também observam que o primeiro artigo detalhando o uso desse tipo de superfície de ataque foi escrito para a Agência de Segurança Nacional dos Estados Unidos (NSA), em 1972, o que levanta especulações de que tais ataques já podem estar em vigor.
Leia também: O que está acontecendo com o Google Assistente?
“A origem governamental das Autoridades de Certificação de Assinatura (AS-CAs) permite especular que tal ataque já pode ser possível em dispositivos modernos, mas permanece um segredo”, escreveram os pesquisadores.
Não há dúvida de que se os governos dos Estados Unidos e do Reino Unido estiverem explorando tais falhas, outros também estarão.
Conforme relatado pelo Bleeping Computer, os pesquisadores de segurança do Reino Unido descobriram como identificar o que você digita com uma precisão de até 95%. O ataque, que usa uma combinação de áudio e IA, não se limita aos Macs.
A falha é explicada com mais detalhes aqui, mas não é completamente direta. O atacante precisa calibrar o som das suas teclas para o caractere relevante primeiro, a fim de treinar a IA. Isso significa identificar o som específico de cada pressionamento de tecla, embora isso possa ser conseguido durante uma conversa no Zoom – se você estiver digitando no chat enquanto o som do teclado do seu Mac é audível para outras pessoas na reunião.
Uma vez que o algoritmo de ataque fizer a correspondências entre cada som e tecla, a pesquisa afirma que ele capturará o que você digita. “Os pesquisadores coletaram dados de treinamento pressionando 36 teclas em um MacBook Pro moderno, 25 vezes cada, e gravando o som produzido por cada pressionamento”, explica o artigo técnico.
De forma simples, a natureza desses ataques significa que se alguém puder acessar seu computador e gravar esses dados de treinamento – ou encontrar alguma outra maneira de ouvir e identificar o som que seu teclado faz quando você digita – eles podem usar a IA para monitorar seu trabalho com bastante precisão. Tudo o que eles precisam é ter a capacidade de ouvir.
O microfone usado para ouvir pode ser o que você deixa ligado no Zoom, o microfone dentro de um smartphone hackeado ou um aplicativo com acesso ao microfone em violação do acordo de privacidade que você espera desse aplicativo. O microfone pode até ser um dispositivo convencional de espionagem, e uma vez que ele estiver em funcionamento, o algoritmo de deep learning poderá permitir que os atacantes tenham acesso a dados sensíveis, senhas e muito mais.
Por mais preocupante que o exploit possa parecer, ele também é uma boa ilustração de como a IA pode ser usada de maneiras novas para minar os perímetros de segurança. Isso se tornará ainda mais problemático à medida que o custo da computação quântica diminuir, porque essas máquinas podem processar dados muito mais rapidamente do que os computadores que usamos hoje.
Em teoria, esses computadores quânticos poderiam quebrar as chaves criptográficas nas quais a internet depende em algumas horas, o que significa que as senhas tradicionais são relativamente fáceis de se quebrar.
Veja mais: Mercado de PCs no Brasil cai 24% em receitas no 1º trimestre, diz IDC
Os pesquisadores especulam que os tópicos podem incluir o uso de alto-falantes inteligentes para ajudar na classificação dos toques no teclado (é o que eu chamo de “Siri Detective”), ou a adição de modelos LLM de IA generativa para melhorar o reconhecimento de teclas.
Ataques acústicos desse tipo também estão muito mais fáceis de se realizar, pois muitos dispositivos agora têm microfones embutidos, e a pesquisa em IA continua a evoluir. Até mesmo a Apple possui uma patente para a Siri ler lábios. O que parece ser necessário é uma determinação prioritária na proteção da privacidade, mas a vontade de se fazer isso parece estar faltando em alguns setores-chave.
Existem algumas medidas que podem ajudar a combater tais ataques. Senhas aleatórias com letras maiúsculas e uso liberal da tecla Shift podem ajudar, enquanto a digitação por toque também reduz a precisão, presumivelmente porque os digitadores têm um ritmo relativamente consistente ao digitar. Os pesquisadores recomendam que as pessoas tentem alterar seu estilo de digitação para confundir o algoritmo.
Outras defesas incluem ruído branco, filtros de áudio de teclado baseados em software ou software para reproduzir sons aleatórios de teclas para confundir o algoritmo.
Imagino que o uso de teclados diferentes com o seu Mac também possa ajudar, enquanto o uso de autenticação biométrica, gerenciadores de senhas e chaves de acesso podem ajudar a limitar as informações que os atacantes obtêm.
Também faz sentido auditar regularmente os aplicativos em todos os seus dispositivos, caso eles tentem reivindicar o direito de usar o seu microfone. Você nunca sabe quem pode estar ouvindo.
Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!
Olá! Obrigado por passar por aqui. É um prazer conhecê-lo. Sou Jonny Evans e escrevo – principalmente sobre a Apple – desde 1999. Atualmente, escrevo meu blog diário AppleHolic, na Computerworld.com, onde exploro a crescente identidade da Apple no setor enterprise. Você também pode acompanhar meu trabalho no AppleMust e me seguir no Mastodon, LinkedIn e (talvez) no Twitter.
