加州大學爾灣分校(University of California, Irvine,UCI)的研究人員近日發表了一篇研究報告,警告使用者在進行Skype或其他VoIP通訊時,最好不要在鍵盤上敲打密碼或其他機密資訊,因為對方或駭客將能記錄鍵盤聲音並重建使用者所輸入的文字,這份報告的標題即為「別在Skype時打字!」(Don’t Skype & Type)。
其實竊聽聲發射(acoustic emanation)或電磁發射的攻擊手法早在1943年就有了,當時貝爾實驗室的工程師便發現,在某款供美國陸軍進行加密通訊的電話設備上,只要透過示波器就可將該設備的電磁發射轉成純文字。
而鍵盤的聲發射亦帶來嚴重的隱私問題,只要竊聽鍵盤發出的聲音就能得知使用者輸入的文字,駭客也許是利用麥克風或是各種感應器來蒐集敲打鍵盤的聲音,再以監督/非監督機器學習或三角測量等技術來重建使用者所輸入的文字。
由於使用者在執行Skype或其他VoIP服務時,經常同時進行其他工作,像是寫電子郵件、聊天、作筆記,敲打鍵盤的聲音就會藉由這些VoIP服務傳遞給對方,假設對方有意竊聽,只要確認使用者的電腦與鍵盤就能重建輸入文字。
參與該研究的UCI教授Gene Tsudik說明,駭客能夠針對特定鍵盤建立每個鍵的聲發射檔案,進而確定所輸入的文字,例如敲擊MacBook Pro上的T與R所發出的聲音不同,而且MacBook Pro鍵盤與其他鍵盤的聲音亦不一致。
總之,在經過實驗後,UCI研究團隊發現在確定受害者的輸入法及所使用的鍵盤之後,遠端竊聽鍵盤輸入並猜對所敲擊按鍵的成功率高達91.7%,即使在不知輸入法與鍵盤的情況下,猜對的成功率亦有41.89%,證明了這類的攻擊是可行的。