作者丨Vision NP
译者丨陈峻
审校丨重楼
最近 , 网上有研究报告(https://arxiv.org/pdf/2308.01074.pdf)披露了一种潜藏得较为隐蔽的网络安全漏洞 。该漏洞能够被用来在人们使用Zoom等视频会议 , 进行通话过程中 , 针对键盘输入的声音发起攻击 。
根据萨里大学、达勒姆大学和伦敦大学皇家霍洛威学院的专家们所做的研究表明 , 人工智能系统可以根据人类打字时发出的声音 , 准确地识别出其在笔记本电脑键盘上具体按下的是哪个键 。
一、研究发现
以下是这项研究的一些重要启示和影响:
1.基于声音的攻击:研究发现 , 人工智能系统可以检测到按键声音的信号 , 而且其准确率高达、甚至超过90% 。例如 , 在Zoom通话或其他类型的语音通信中 , 按下了哪些键等 。据此 , 网络犯罪分子可以通过分析按键打字时所发出的声音 , 来获取密码、账单信息等敏感信息 。
2.视频会议的威胁与日俱增:随着Zoom等视频会议工具的广泛使用 , 特别是在COVID-19流行期间 , 与此类平台相关的潜在安全风险也在持续增加 。而且 , 设备内置麦克风的普及 , 更进一步增加了声音攻击的威胁 。
3.机器学习和声学分析:研究人员使用机器学习算法 , 可以分析与不同按键相关的声音信号 。同时 , 人工智能系统也能够学习并识别出声音记录中的各种模式和特征 。即使是不同手指用不同力量击键 , 算法也能准确识别出按键特征 。这充分证明了机器学习在识别和利用信号方面的强大能力 。
4.准确性的提高:该研究在识别按键方面达到了很高的准确度 , 电话通话录音的成功率高达 95% , 就连Zoom通话录音的成功率也高达93% 。这样的准确率说明了此类攻击所带来的安全威胁是不容忽视的 。
5.公共辩论的重要性:研究人员认为 , 我们有必要对人工智能技术进行公开讨论和管理 , 尤其是随着带有麦克风的智能设备在各个家庭中的使用越来越普及 。也就是说 , 基于声音的攻击 , 势必会引发道德和隐私方面的问题 , 值得公众认真考虑 。
6.侧信道攻击:此类攻击形式通过结合非预期信号(如声音) , 来获取未经授权的访问权限或信息 。它充分体现了在网络安全战略中 , 考虑各种攻击载体的重要性 。
7.对用户行为的影响:即使是细微的动作和声音 , 也有可能被老练的攻击者所利用 。因此建议用户在视频会议通话中 , 特别是在输入敏感信息(包括密码)时 , 请保持谨慎 。
8.攻击的不断演变:随着时间的推移 , 基于人工智能模型的各类攻击的准确性将大幅提高 。因此 , 我们必须在网络安全实践中不断提高认识 , 并按需调整 。
二、多层次防护组合
以上是该研究报告的主要结论 。那么具体而言 , 我们应该如何才能防止Web应用和用户 , 受到基于声音的攻击呢?
鉴于此类攻击仍在不断演变 , 我们需要通过下文提到的多层次方法的组合 , 在一定程度上增强Web应用、以及用户行为的安全性和完整性 , 并将受攻击的风险降至最低:
?实施双因素身份验证(2FA):由于用户需要提供第二类认证信息(例如:除密码外 , 来自验证器应用或生物识别的登录代码) , 才能访问其账户 , 因此该方法增加了一个额外的安全层 。也就是说 , 它通常需要向用户的移动设备或电子邮件发送验证码 , 并在验证器应用中生成随机码 , 从而降低基于单一密码维度的攻击 。下面是根据需要 , 在特定Web应用中实施2FA的方法示例 。
文章插图
代码来源:谷歌云 , 使用 Firebase 身份验证库的 JAVAScript 代码
上述代码演示了使用Firebase身份验证 , 来实现多因素身份验证的流程 。具体而言 , 该代码段主要是将电话号码的验证作为第二种因素 。当然 , 你可以通过调整该代码段 , 提供其他的多因素身份验证(MFA)选项 , 来按需整合基于时间的一次性密码(TOTP)的MFA , 以满足特定应用的实际需求 。不过 , 请注意在实施多因素身份验证时 , 不要忽略了其他潜在的安全问题、以及用户体验 。
推荐阅读
- 如何分辨是否为 AI 图片?谷歌最新大模型工具将“水印”打入 AI 绘画的 DNA
- Python爬虫如何快速入门学习?
- 减肥期间如何吃晚餐?学会5个简单策略,让你减肥更轻松
- 高温天气如何钓鱼?做到这5个要点,轻松钓爆护
- 我,山东的公务员,透露退休收入有多少?待遇如何?有哪些优势
- 拍立得已装相纸怎么过安检 拍立得相纸如何过安检
- 生源地贷款申请方法 生源地贷款如何申请
- 飞机安全带如何解开 飞机安全带如何解开的
- 你是否属于“喝水都长肉”的体质?如何才能把自己养成易瘦体质呢?
- 腊肉怎样处理才能吃 腊肉如何处理好吃