AI có thể xác định mật khẩu từ âm thanh nhấn phím

Một nghiên cứu mới cho thấy việc gõ mật khẩu máy tính trong khi trò chuyện điện thoại hoặc qua các công cụ họp trực tuyến có thể là một lỗ hổng bảo mật, vì trí tuệ nhân tạo (AI) có thể xác định được người dùng đang nhấn phím nào bằng cách nghe trộm âm thanh gõ.

Các chuyên gia nói rằng trong bối cảnh các công cụ họp trực tuyến, chẳng hạn như Zoom hoặc Google Meet, ngày càng được sử dụng rộng rãi và hầu hết thiết bị điện tử tiêu dùng như điện thoại, laptop, đồng hồ thông minh đều tích hợp microphone, mối đe dọa tấn công mạng dựa trên âm thanh cũng tăng lên. Hệ thống mà họ tạo ra có thể xác định phím nào trên bàn phím máy tính xách tay đang được nhấn với độ chính xác hơn 90%, chỉ dựa trên bản ghi âm tiếng gõ phím.

“Độ chính xác của các hệ thống tương tự, và độ phổ biến của tấn công mạng dựa trên âm thanh, sẽ ngày càng tăng" - theo Tiến sĩ Ehsan Toreini (Đại học Surrey), đồng tác giả của nghiên cứu. Do đó, chúng ta cần có những thảo luận công khai rộng rãi hơn về quản trị AI, Toreini nói.

Tại hội thảo chuyên đề về bảo mật và quyền riêng tư của Hội Kỹ sư Điện và Điện tử (IEEE), nhóm Toreini công bố nghiên cứu mô tả cách họ sử dụng thuật toán học máy để tạo ra một hệ thống AI có thể xác định phím nào trên máy tính xách tay được nhấn dựa trên âm thanh. Các nhà nghiên cứu nhấn từng phím trong số 36 phím trên máy tính xách tay MacBook Pro, bao gồm tất cả các chữ cái và số, 25 lần liên tiếp, sử dụng các ngón tay khác nhau và với lực nhấn khác nhau. Các âm thanh được ghi âm lại theo hai cách, cuộc gọi Zoom và cuộc gọi qua điện thoại thông minh đặt gần bàn phím.

Sau đó, nhóm đưa một phần dữ liệu vào hệ thống máy học. Từ các thông tin là âm thanh gõ phím và phím tương ứng, hệ thống nhận biết được các âm đặc trưng của từng phím. Nhóm nghiên cứu không rõ hệ thống đã nắm bắt được manh mối nào từ bản ghi âm để có thể nhận biết được. Có thể khoảng cách khác nhau của mỗi phím đến cạnh bàn phím làm bằng kim loại đã tạo ra âm thanh đặc trưng, theo dự đoán của Joshua Harrison, tác giả thứ nhất của nghiên cứu từ Đại học Durham.

Sau đó, nhóm nghiên cứu thử nghiệm hệ thống trên phần còn lại của dữ liệu, chưa dùng để đào tạo.

Kết quả, hệ thống có thể xác định đúng phím dựa trên âm thanh gõ trong khoảng 95% số lần qua cuộc gọi điện thoại và 93% qua cuộc gọi Zoom.

Nghiên cứu này không phải là nghiên cứu đầu tiên cho thấy phím có thể được xác định bằng âm thanh gõ. Tuy nhiên, nhóm nghiên cứu cho biết nghiên cứu của họ sử dụng các phương pháp mới nhất và đã đạt được độ chính xác cao nhất cho đến nay.

Các nhà nghiên cứu nói rằng công trình này chỉ là thử nghiệm về nguyên tắc và chưa được sử dụng để bẻ khóa mật khẩu – sẽ đòi hỏi xác định chính xác các chuỗi tổ hợp phím chứ không chỉ từng phím riêng lẻ và trong các môi trường thế giới thực. Tuy nhiên, kết quả cho thấy cần nêu cao cảnh giác. Các phương pháp nghe trộm tương tự có thể được áp dụng cho bất kỳ bàn phím nào, không chỉ máy tính xách tay.

Các nhà nghiên cứu cho biết thêm có một số cách có thể giảm thiểu rủi ro bị tấn công âm thanh, chẳng hạn như mật khẩu sinh trắc học và phương pháp xác minh hai bước. Ngoài ra, người dùng nên sử dụng phím shift để tạo hỗn hợp chữ hoa và chữ thường, hoặc số và ký hiệu.

“Sẽ rất khó để xác định âm thanh của việc buông phím shift", Harrison nói.

Giáo sư Feng Hao từ Đại học Warwick - người không tham gia vào nghiên cứu mới, lưu ý chúng ta nên cẩn thận không gõ các tin nhắn nhạy cảm, bao gồm cả mật khẩu, trên bàn phím trong khi gọi Zoom.

“Bên cạnh âm thanh, hình ảnh về các chuyển động nhỏ của vai và cổ tay cũng có thể tiết lộ thông tin bổ sung về nội dung được gõ trên bàn phím, mặc dù máy ảnh không nhìn thấy bàn phím”, ông nói.