Az adatlopásnak számtalan módszere van: az egyik legegyszerűbb egy csalárd oldalra terelni a felhasználót, arra kérve, hogy valamilyen halaszthatatlan okból sürgősen jelentkezzen be mondjuk a netbankjába. Tiszta sor: a gyanútlan áldozat beír mindent egy ismerősnek tűnő felületen, amit egy e-mailből vagy SMS-ből kattintott ki, és máris tálcán kínálja az adatait a rosszindulatú feleknek.

Vannak azonban ennél kifinomultabb módszerek is, például az, ami konkrétan lehallgatja, miközben a felhasználó a billentyűzetén pötyög. Ez így elsőre nem tűnik életszerűnek, pláne veszélyesnek, pedig nagyon is az. Az igazi veszélye pedig éppen ebben rejlik: mert a felhasználó talán nem is sejti, hogy még így is lehallgathatják. Szó szerint.

Ilyen, lehetséges támadási módszerről nem először szólnak a hírek, ám most egy olyan módozatát írták le a kutatók, amely minden korábbinál veszélyesebb lehet. Ezzel ugyanis a rosszindulatú felek képesek lehetnek következtetni a felhasználó által leütött billentyűkre, akár még akkor is, ha jelentős a háttérzaj. Nem kell tehát síri csönd, mint a korábbi módszereknél.

Ugyan a 43 százalék körüli átlagos pontosság nem tűnik kiemelkedőnek, ez a módszer – szemben az említett korábbiakkal – sem speciális rögzítési körülményeket, sem pedig speciális gépelési platformot nem igényel.

Ezt a módszert akusztikus támadásnak szokták nevezni, és a különböző billentyűleütések hangjának, valamint a felhasználók gépelési mintázatának segítségével gyűjt adatokat. Ezt Alireza Taheritajar és Reza Rahaeimehr, az amerikai Augusta Egyetem kutatói írták le egy, az arXiv tudományos szerveren megjelent publikációjukban.

A támadáshoz – részletezi a Bleeping Computer – előzetesen mindenképp szükség van egy gépelési mintára a felhasználótól, hogy így lehessen összekapcsolni a billentyűleütéseket és szavakat a hanghullámokkal. Erre is van azonban megoldás, rosszindulatú programok, webhelyek és hackelt USB-billentyűzetek révén.

Ezt követően a lehallgatás történhet egy rejtett mikrofon vagy a közelben lévő, komprimittált eszköz – okostelefon, laptop, okoshangszóró – segítségével. A felvételeket egy statisztikai modell betanítására használják, amely végső soron egy átfogó profilt készít az egyén gépelési mintázatairól.

A támadás sikeressége azonban számos tényező függvénye: állandósult gépelési mintázatok hiányában vagy halk billentyűzetek jelentősen ronthatnak azon, hogy milyen eredménnyel lehet információkat lopni valakitől.

Jelenleg ez csupán egy lehetséges módszer, egyelőre nincs hír arról, hogy aktívan kihasználnák – az azonban bizonyos, hogy ezzel újabb fegyver kerülhet a támadók kezébe, akik számára minden, a felhasználótól megszerzett adat értékes kincs lehet.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.