小心! 駭客可聽音辨位竊聽Skype的鍵盤輸入

william77

研究指出駭客針對特定鍵盤按鍵聲建立聲發射檔案，就能將蒐集到的Skype鍵盤輸入聲重建為文字，若能確定使用的輸入法及鍵盤，駭客從遠端竊聽鍵盤輸入猜對敲擊按鍵的成功率高達91.7%。

加州大學爾灣分校（University of California, Irvine，UCI）的研究人員近日發表了一篇研究報告，警告使用者在進行Skype或其他VoIP通訊時，最好不要在鍵盤上敲打密碼或其他機密資訊，因為對方或駭客將能記錄鍵盤聲音並重建使用者所輸入的文字，這份報告的標題即為「別在Skype時打字！」（Don’t Skype & Type）。
其實竊聽聲發射（acoustic emanation）或電磁發射的攻擊手法早在1943年就有了，當時貝爾實驗室的工程師便發現，在某款供美國陸軍進行加密通訊的電話設備上，只要透過示波器就可將該設備的電磁發射轉成純文字。
而鍵盤的聲發射亦帶來嚴重的隱私問題，只要竊聽鍵盤發出的聲音就能得知使用者輸入的文字，駭客也許是利用麥克風或是各種感應器來蒐集敲打鍵盤的聲音，再以監督/非監督機器學習或三角測量等技術來重建使用者所輸入的文字。
由於使用者在執行Skype或其他VoIP服務時，經常同時進行其他工作，像是寫電子郵件、聊天、作筆記，敲打鍵盤的聲音就會藉由這些VoIP服務傳遞給對方，假設對方有意竊聽，只要確認使用者的電腦與鍵盤就能重建輸入文字。
參與該研究的UCI教授Gene Tsudik說明，駭客能夠針對特定鍵盤建立每個鍵的聲發射檔案，進而確定所輸入的文字，例如敲擊MacBook Pro上的T與R所發出的聲音不同，而且MacBook Pro鍵盤與其他鍵盤的聲音亦不一致。
總之，在經過實驗後，UCI研究團隊發現在確定受害者的輸入法及所使用的鍵盤之後，遠端竊聽鍵盤輸入並猜對所敲擊按鍵的成功率高達91.7%，即使在不知輸入法與鍵盤的情況下，猜對的成功率亦有41.89%，證明了這類的攻擊是可行的。