小心被你敲键盘的声音出卖_键盘

访客4年前黑客资讯459

本文会讲解一些关于keytap工具的技术细节。我也会分享一些自己关于这个项目的几点想法。这个项目已经开源,源码在这里可以下载。描述该工具的主要目标是利用敲击键盘时产生的声音作为一种边信道攻击来猜测输入文本的内容。为了达到这个目标,该算法以训练集作为输入,这个训练集包括音频记录和记录期间你敲了哪些键盘按键。通过这些数据,该算法可以学习到不同按键敲击的声音,之后就可以通过捕获的音频来尝试识别敲键盘的声音。训练数据集的收集非常具体,采集收据的根据也就是键盘、麦克风还有两者之间的相对位置。任何因素发生了变化,这个 *** 就变得毫无意义了。不过好在,当前的 *** 可以进行实时预测。这个 *** 涉及到的主要步骤如下:· 收集训练数据· 创建预测模型,不断学习· 检测到键盘输入· 预测具体的每一个输入键收集训练数据这个收集训练数据的 *** 已经忽略了两次键盘敲击之间的声音。我们只保留实际按键前和按键后75-100ms的音频。这样做可能会有点不太精确,因为键盘敲击的延迟时间是随机的,程序捕获这种事件,也会受到硬件和软件因素的影响。举个例子,下图是敲击我键盘上的字母“g”的完整声波:从图中可以看到,在按键峰值之后,还有一个释放按键的峰值。而keytap直接忽略了这个释放峰值。这个可能会提取到额外的信息,不过为了简单起见,释放峰值的这个数据就直接放弃不用了。所以,最终字母“g”这个按键的训练数据声波图如下:当然,这个75ms的间隙对打字速度有一定的限制,如果在这个时间段内,按键有重叠的话,不同按键的训练数据就会混杂在一起。从上图中还可以观察到一点就是某个按键的训练声波图越多越好,结合多个声波图,可以帮助减少环境噪音。而且,每个人按键的声音可能稍有不同,这就取决于用户按键的方式了。所以,你可能会捕获到某个按键的不同的声音。创建预测模型这时候就体现出人们的非凡创造性了,可以通过机器学习,人工智能和神经 *** 等技术来创建预测模型。不过keytap使用了最简单的一种办法。对于每一个训练按键,我们执行以下3个步骤:1.对齐收集到的波形峰值。这有助于避免检测按键之前的随机延迟时间,前面解释过了。2.基于相似性度量来优化声波的对齐方式,因为有时候,声波的峰值并不是更佳指标,所以我们要选择一个更加精确的 *** 。3.对其波形进行简单加权平均。权重由相似性度量定义。我们并没有直接跳到步骤2,而是要先执行之一步,因为相似性度量的计算是很吃CPU的。而步骤1已经有效的缩小了对齐的范围并减少了计算量。步骤3之后,我们最终会得到每个按键的平均波形。之后会将其与捕获到的数据进行对比并预测最有可能的输入按键。keytap中使用的相似性度量是交叉相关(CC),公式如下:这里的Ai和Bi是被比较的两种波形的波形样本。CC值越高,波形越相似。当然也可以使用其他的相似性度量的测试 *** 。不同按键之间间隔的计时信息其实也可以加入到预测模型中,不过我避免了使用这种 *** ,因为它更加难以实现。检测键盘输入keytap使用相对简单的阈值技术来检测原始音频中的按键事件。显然,当用户敲击按键时,我们预计会有一个很高的峰值,这也正是我们想要的效果。阈值相对于过去几百毫秒的样本平均强度而言是自适应的。这个 *** 并不是十分完美,但我现在还不知道更有效的 *** 来检测按键事件。预测敲了哪些按键一旦确定了可能的按键事件,我们就可以定位到波形的峰值位置,计算该部分波形与训练数据中所有平均波形的相似性度量。我们允许在峰值附近有小范围的调整(前面提到过)。我们认为相似性度量更高的将对应的是敲击的按键。几点观察我注意到即时这个算法没有检测到敲击的正确按键,它仍然能够预测到附近的按键,意思也就是定位到了正确键的下一个键。对于这个现象,我认为有下面两种解释:1.键盘上相邻的按键发出的声音类似2.在这个 *** 中,键相对于麦克风的位置对预测起着决定性的作用我认为之一种解释不太可能,所以很可能是第二种解释。另外,我还观察到机械键盘比非机械键盘更容易遭受这种键盘窃听攻击。keytap2我很笃定肯定有一种实现预测的 *** 是根本不需要收集训练数据的。假如用户使用某种已知语言来输入文本,比如英语,那么关于该语言的N米模型统计信息和按键检测的相似性度量值结合起来就足够检测出输入的文本了。实际上,归根到底这其实就是破解置换密码的一种攻击。keytap2尝试着去证明这种攻击。我也在做这方面的研究,但是我卡在了基于他们的CC公式对按键进行聚类分析的部分。但我认为至少我已经准备好了置换密码破解工作。如果在实际中破解成功的话,我将会提供更多的细节。结束语科学文献上,关于这个主题的论文有很多。其中有一篇论文中的一个特别的 *** 给了我很大的启发,就是Don’t Skype&Type!大家有兴趣的可以看看。但大多数情况下,我都是自己独立解决了问题,没有阅读别人论文中的细节和他们的研究成果,我觉得自己解决问题更有意思,更有挑战性。老实说,真没想到这篇文章会受到巨大的关注,完全在意料之外。这一切始于我在一篇Hacker News中发布的一条评论,然后被一个著名的开发工程师注意到了。然后,我的Twitter消息就炸了。不管怎样,希望这篇文章对大家有所帮助,谢谢!

标签: 好话题

相关文章

1228元买的二手苹果iPhone再次验机竟只值255元,转转平台被曝涉嫌欺诈_华为

3月16日消息 据新华日报财经报道,近日有消费者反映,在二手交易平台“转转”购买二手手机,却发现收到的手机实际状况与平台此前提供的验机报告并不一致。报道称,为此记者专门在转转官方自营平台上购买了一款型...

你的个人信息可能是这样泄露的!黑客从电商平台 偷200万条个人信息被抓_搜狐新闻

你知道你的网购信息如何泄露的吗?也许它们是被黑客从电商那里偷走的。近日,重庆江北警方破获一起跨国黑客案,成功抓获四名利用技术手段盗取他人购买信息数据的犯罪嫌疑人。短短一个多月时间,他们竟盗取了200多...

怎么同时用我的手机接收老婆和别人的微信_同时接收老婆微信

夫妻之间最重要的是信任。然而,现实中往往最缺乏的是夫妻之间的信任。在过去,人们习惯于在手机上打开信件和查看短消息。现在,随着科技的进步,他们已经检查了微信QQ的聊天记录。不久前发生的一件事可以说是非常...

如何找正规的黑客_如何找正规的黑客追款,能找到方法吗?

互联网的发展和普及,让那些热衷计算机网络世界的天才,不断的挑战自己的计算机技术和能力,在互联网中是真正的大神,也就是真正的黑客,谁都想认识黑客,可是黑客是不会轻易暴露目标的,想要找到黑客,如何找正规的...

网络安全宣传周系列动漫——邮件安全篇_新浪城市网

中国邮箱网讯 9月12日消息 电子邮件,人们几乎天天发、天天收。网络信息化时代,电子邮件已经成为常用通信工具,而且也成了企业内部主要的沟通工具。   然而,邮件安全问题也日益突出,逐渐成为电信诈骗、...

浏览器记住的密码是怎么泄露的你可能不知道_中华网

如今,各种网站都要求用户在使用相应的资源和服务之前注册自己的账户。出于方面考虑,许多人习惯于在本地浏览器中选择记住密码。可以在不重复输入帐户密码的情况下完成下一次登录。同时,这也带来了安全风险,让我们...