Ein Horror für alle Sicherheitsbeauftragten in Unternehmen: Keylogging mal anders. in britisches Forscherteam (Joshua Harrison, Ehsan Toreini, Maryam Mehrnezhad) von der Royal Holloway University of London haben ein Deep-Learning-Modell so trainiert, dass es Tastatureingaben aus der Ferne interpretieren kann, und zwar anhand von Audiodaten. Durch die Aufzeichnung von Tastenanschlägen zum Trainieren des Modells konnten sie mit einer Genauigkeit von bis zu 95 Prozent vorhersagen, was auf der Tastatur getippt wurde. Den Forschungsergebnissen zufolge bedeutet dies, dass sensible Informationen wie Passwörter und Nachrichten von jedem interpretiert werden könnten, der sich in Hörweite einer Person befindet, die auf ihrem Laptop tippt, entweder indem er sie persönlich oder virtuell über einen Videoanruf aufnimmt.
Diese so genannten akustischen Seitenkanalangriffe sind in den letzten Jahren sehr viel einfacher geworden, da es immer mehr mikrofontragende Geräte wie Smartphones gibt, die qualitativ hochwertige Audioaufnahmen machen können. In Verbindung mit den rasanten Fortschritten im Bereich des maschinellen Lernens macht dies diese Art von Angriffen möglich und viel gefährlicher als bisher angenommen.
Den Forschern zufolge könnten man im Grunde mit nichts anderem als einem Mikrofon und einem Algorithmus für maschinelles Lernen auf sensible Daten zugreifen. Das Team führte den Test laut ihrer Veröffentlichung (Link) mit einem MacBook Pro durch. Sie drückten 36 einzelne Tasten 25 Mal pro Stück. Auf dieser Grundlage konnte das maschinelle Lernmodell erkennen, welches Zeichen mit welchem Tastenton verbunden ist.
Bei aller Panik, die Forscher geben auch Tipps zur Abwehr dieses Riskio: Um zu verhindern, dass jemand die Tastenanschläge abhört, empfehlen die Forscher, den Tippstil zu ändern, zufällig generierte Passwörter anstelle von Passwörtern mit ganzen Wörtern zu verwenden, zufällig generierte falsche Tastenanschläge für Angriffe per Sprachanruf hinzuzufügen und biometrische Tools wie Fingerabdruck- oder Gesichtsscanner zu verwenden.