سیستم “حمله حرارتی” مبتنی بر هوش مصنوعی رمزهای عبور رایانه و تلفن هوشمند را در چند ثانیه آشکار می کند

10 اکتبر 2022 – توسط دانشگاه گلاسکو -دکتر محمد خمیس از دانشکده علوم محاسباتی استفاده از دوربین حرارتی را بر روی صفحه کلید کامپیوتر نشان می دهد. اعتبار: دانشگاه گلاسکو

کارشناسان امنیت رایانه با تجزیه و تحلیل آثار گرمایی که از نوک انگشتان آن ها بر روی صفحه کلید و صفحه نمایش می گذارد، سیستمی ساخته اند که قادر است رمز عبور کاربران رایانه و گوشی های هوشمند را در چند ثانیه حدس بزند.محققان دانشگاه گلاسکو سیستمی به نام ThermoSecure را توسعه دادند تا نشان دهند که چگونه کاهش قیمت دوربین های تصویربرداری حرارتی و افزایش دسترسی به یادگیری ماشینی خطرات جدیدی را برای “حملات حرارتی” ایجاد می کند.

حملات حرارتی ممکن است بعد از اینکه کاربران رمز عبور خود را روی صفحه کلید کامپیوتر، صفحه گوشی هوشمند یا صفحه کلید ATM تایپ کنند، قبل از اینکه دستگاه را بدون محافظ بگذارند، رخ دهد. یک رهگذر مجهز به دوربین حرارتی می تواند عکسی بگیرد که نشانگر حرارتی از جایی که انگشتانش دستگاه را لمس کرده است را نشان دهد.

هر چه ناحیه ای روشن تر در تصویر حرارتی ظاهر شود، اخیراً لمس شده است. با اندازه گیری شدت نسبی مناطق گرمتر، می توان حروف، اعداد یا نمادهای خاصی را که رمز عبور را تشکیل می دهند تعیین کرد و ترتیب استفاده از آنها را تخمین زد. از آنجا، مهاجمان می توانند ترکیب های مختلفی را برای شکستن رمز عبور کاربران امتحان کنند.

تحقیقات قبلی توسط دکتر محمد خامیس، که رهبری توسعه ThermoSecure را بر عهده داشت، قبلاً نشان داده است که افراد غیرمتخصص می توانند رمز عبور را به سادگی با نگاه دقیق به تصاویر حرارتی گرفته شده بین 30 تا 60 ثانیه پس از لمس سطوح، با موفقیت حدس بزنند.

در مقاله ای که در مجله ACM Transactions on Privacy and Security منتشر شده است، دکتر خمیس و تیم نویسنده، خانم نورا الوتایبی و دکتر جان ویلیامسون، توضیح می دهند که چگونه از یادگیری ماشین برای دقیق تر کردن فرآیند حمله استفاده می کنند. برای انجام این کار، آنها 1500 عکس حرارتی از صفحه کلیدهای QWERTY که اخیراً استفاده شده اند از زوایای مختلف گرفتند.

سپس، آنها یک مدل هوش مصنوعی را آموزش دادند تا به طور موثر تصاویر را بخواند و با استفاده از یک مدل احتمالی در مورد رمزهای عبور از سرنخ‌های امضای حرارتی حدس‌های آگاهانه بسازد.

از طریق دو مطالعه کاربر، آنها دریافتند که ThermoSecure قادر است 86٪ از رمزهای عبور را در زمانی که تصاویر حرارتی در 20 ثانیه گرفته می شود، و 76٪ در طول 30 ثانیه آشکار کند، که پس از 60 ثانیه از ورود به 62٪ کاهش می یابد.

آنها همچنین دریافتند که در عرض 20 ثانیه، ThermoSecure قادر است حتی به رمزهای عبور طولانی 16 کاراکتری با موفقیت تا 67 درصد تلاش کند. با کوتاه‌تر شدن گذرواژه‌ها، میزان موفقیت افزایش یافت – رمزهای عبور 12 نمادی تا 82 درصد مواقع، گذرواژه‌های هشت نمادی تا 93 درصد مواقع و گذرواژه‌های شش نمادی در 100 درصد تلاش‌ها با موفقیت حدس زدند.

دکتر خامیس، از دانشکده علوم محاسباتی دانشگاه گلاسکو، گفت: “آنها می گویند که برای دستگیری دزد باید مانند یک دزد فکر کنید. ما ThermoSecure را با فکر کردن به دقت در مورد اینکه چگونه عوامل مخرب ممکن است از تصاویر حرارتی برای نفوذ به رایانه ها سوء استفاده کنند توسعه دادیم.

“دسترسی به دوربین های تصویربرداری حرارتی مقرون به صرفه تر از همیشه است – آنها را می توان با کمتر از 200 پوند پیدا کرد – و یادگیری ماشینی نیز به طور فزاینده ای در دسترس قرار می گیرد. این احتمال می دهد که مردم در سراسر جهان در حال توسعه سیستم هایی در امتداد خطوط مشابه ThermoSecure باشند. مهم است که تحقیقات امنیت رایانه با این پیشرفت‌ها همگام شود تا راه‌های جدیدی برای کاهش خطر بیابد، و ما به توسعه فناوری خود ادامه خواهیم داد تا یک قدم جلوتر از مهاجمان باشیم.

“ما همچنین مشتاق هستیم تا به سیاستگذاران خطراتی را که این نوع حملات حرارتی برای امنیت رایانه ایجاد می کند برجسته کنیم. یکی از مسیرهای بالقوه کاهش خطر می تواند غیرقانونی کردن فروش دوربین های حرارتی بدون نوعی امنیت پیشرفته موجود در نرم افزار آنها باشد. ما در حال حاضر در حال توسعه یک سیستم اقدام متقابل مبتنی بر هوش مصنوعی هستیم که می تواند به رفع این مشکل کمک کند.”

محققان همچنین متغیرهای دیگری را بررسی کردند که حدس زدن رمزهای عبور را برای ThermoSecure آسان‌تر می‌کرد. یکی از آنها شیوه تایپ کاربران صفحه کلید بود. کاربران صفحه‌کلید «شکار و پیک» که به آرامی تایپ می‌کنند، معمولاً انگشتان خود را برای مدت طولانی‌تری روی کلیدها می‌گذارند و نشانه‌های گرمایی ایجاد می‌کنند که بیشتر از تایپیست‌های لمسی سریع‌تر دوام می‌آورند.

تصاویر گرفته شده در 30 ثانیه پس از لمس صفحه کلید به ThermoSecure اجازه می‌دهد تا 92 درصد مواقع رمز عبور تایپیست‌ها را با موفقیت حدس بزند، اما فقط 80 درصد از مواقع برای تایپیست‌های لمسی.

ثانیاً، نوع موادی که صفحه کلیدها از آن ساخته شده اند، می تواند بر توانایی آنها در جذب گرما تأثیر بگذارد و تأثیراتی بر اثربخشی حملات حرارتی دارد. ThermoSecure تقریباً نیمی از مواقع می‌توانست رمزهای عبور را از گرمای حفظ شده روی کلاهک‌های ساخته شده از پلاستیک ABS حدس بزند، اما فقط در ۱۴٪ مواقع روی کلیدهای ساخته شده از پلاستیک PBT.

تیم ThermoSecure تعدادی پیشنهاد برای کاربران کامپیوتر و گوشی های هوشمند دارد تا از خود در برابر حملات حرارتی محافظت کنند.

دکتر خمیس افزود: “حدس زدن دقیق رمزهای عبور طولانی تر برای ThermoSecure دشوارتر است، بنابراین توصیه می کنیم تا جایی که امکان دارد از عبارت عبور طولانی تر استفاده کنید. به خصوص اگر کاربر یک تایپیست لمسی باشد.صفحه کلیدهای دارای نور پس‌زمینه نیز گرمای بیشتری تولید می‌کنند و خوانش دقیق حرارتی را چالش‌برانگیزتر می‌کند، بنابراین یک صفحه کلید با نور پس‌زمینه با پلاستیک PBT می‌تواند ذاتاً ایمن‌تر باشد.

در نهایت، کاربران می‌توانند با اتخاذ روش‌های احراز هویت جایگزین، مانند اثر انگشت یا تشخیص چهره، که بسیاری از خطرات حمله حرارتی را کاهش می‌دهد، دستگاه‌ها و صفحه‌کلیدهای خود را ایمن‌تر کنند. ورود رمز عبور؛ احراز هویت مبتنی بر نگاه در برابر حملات حرارتی با طراحی مقاوم است.”

مقاله این تیم با عنوان «ThermoSecure: بررسی اثربخشی حملات حرارتی مبتنی بر هوش مصنوعی بر روی صفحه‌کلیدهای رایج رایانه‌ای» در ACM Transactions on Privacy and Security منتشر شده است.

https://techxplore.com/news/2022-10-ai-driven-thermal-reveals-smartphone-passwords.html?utm_source=nwletter&utm_medium=email&utm_campaign=daily-nwletter