Bilgisayarınızın yanında sıradan bir fare, dikkate almadığınız bir tehlike olabilir. Kaliforniya Üniversitesi Irvine (UC Irvine) bilim insanları, yüksek çözünürlüklü sensörlerle donatılmış optik farelerin ses titreşimlerini algılayarak kullanıcıların konuşmalarını çözümleyebildiğini ortaya koydu. Bu siber saldırı tekniğine “Mic-E-Mouse” adı verildi.
SENSÖRLERDEN SES İZİNLERİ
Araştırmalar, 20 bin DPI çözünürlüğe sahip 35 dolarlık bir fare ile gerçekleştirilen deneylerde, yazılım kullanarak konuşmaları yüzde 61 doğruluk oranıyla yakalayabildi. Fare, kullanıcının sesiyle masanın yüzeyindeki mikroskobik titreşimleri algılıyor; bu veriler, bir Wiener filtresi aracılığıyla gürültüden arındırılıp, yapay zeka tabanlı bir dil modeline aktarılıyor.
Sistem, özellikle sayıları ve kısa kelimeleri oldukça net bir şekilde tanıyabiliyor; bu durum, kredi kartı bilgilerini yüksek sesle söyleyen kişiler için büyük bir risk taşımaktadır.
SALDIRI NASIL GERÇEKLEŞİYOR?
Söz konusu yöntemin çalışabilmesi için, bilgisayarın önce zararlı yazılımlar tarafından enfekte edilmesi gerekiyor. Fakat uzmanların ifade ettiğine göre, fare verileri genellikle antivirüs yazılımları tarafından zayıf bir şekilde korunuyor; bu da saldırganların bu verileri kolayca dışarıya aktarmasına imkan tanıyor. Basit bir “açık kaynak” görünümlü uygulama bile fare sensör verilerini kötüye kullanabiliyor.
SINIRLAMALAR VE OLABİLECEK ÖNLEMLER
Deneyler, farenin düz ve sert bir yüzeyde daha etkin bir şekilde “dinleme” yaptığını göstermektedir; fare pedleri veya masa örtüleri kullanıldığında etkinlik ciddi oranda düşmektedir. Gürültülü ortamlardaki veya titreşimli makinelerdeki verimlilik de olumsuz yönde etkileniyor.
Araştırmacılar, bu saldırıların yalnızca sesleri değil, aynı zamanda adım seslerini ve klavye tuş vuruşlarını da algılayabileceğini vurguluyor. Her tuşun kendine özgü bir titreşim profili bulunduğundan, yeterli veriyle yazılmış metinlerin kısmen de olsa çözülebilmesi mümkün.
UC Irvine ekibi, bu bulgularını 26 farklı fare üreticisine ileterek güvenlik önlemleri alınması gerektiğine dikkat çekti. Şirketler, şu anda sensör verilerini korumaya yönelik yazılım güncellemeleri üzerinde çalışmalarını sürdürüyor.
Araştırmacı Mohamad Fakih, bu tür “yan kanal” saldırılarına yönelik çalışmaları 10 yılı aşkın bir süredir sürdürdüklerini ifade etti; Mic-E-Mouse projesinin ise son iki buçuk yıl içinde bu aşamaya geldiğini belirtti. Ekip, şimdi de drone sensörlerinin benzer şekilde konuşmaları algılayıp algılayamayacağını incelemektedir.
