ЭЭГ можно использовать для кражи паролей
Злоумышленники могут использовать устройства, считывающие мозговые волны, чтобы узнать персональную информацию, в том числе логины, пароли и PIN-коды. Поэтому ученые призывают улучшить безопасность таких приборов, ведь они все чаще появляются не только в больницах, но и у частных потребителей. Доклад на эту тему сотрудники Университета Алабамы в Бирмингеме представили на конференции Financial Cryptography and Data Security 2017.
Устройства для чтения мозговых волн — электроэнцефалографы — набирают популярность вне медицинских учреждений как способы управления роботизированными игрушками и возможность играть в специально созданные видео-игры. Пока что этот рынок только начинает развиваться, и такие устройства стоят от 150 до 800 долларов США. Ученые предупреждают о том, что потенциально они достаточно уязвимы в том случае, когда игрок, не снимая нейроинтерфейса, ставит игру на паузу и заходит в банковский аккаунт. Во многих условно-бесплатных играх распространены внутриигровые покупки, так что подобная ситуация отнюдь не редкость.
Авторы продемонстрировали, что вредоносная программа может легко и незаметно считывать данные с двух электроэнцефалографов: одного потребительского и одного медицинского. Поскольку ЭЭГ отображает информацию как об обработке визуальной информации, так и о движениях пальцев, рук и мышц головы, то, «натренировав» программу для более точных результатов (например, заставляя пользователя вводить предопределенную последовательность символов), злоумышленники могут довольно точно определять пароли. Авторы обучили алгоритм, вводя 200 символов, и он только на основе данных ЭЭГ начал угадывать четырехзначный PIN в одном из 20 случаев. Если бы у алгоритма не было вообще никакой информаци, вероятность угадывания была бы 1/10 000. Шестизначный пароль алгоритм угадывал в одном случае из 500, вместо одного из 500 000.
«Популярность ЭЭГ-гарнитур растет, они применяются все чаще и во все более разнообразных областях, поэтому они неизбежно станут частью нашей повседневной жизни, мы будем использовать их совместно с другими приборами, — говорит Нитеш Саксена, руководитель исследования. — Важно анализировать потенциальные риски для безопасности и приватности, связанные с развивающимися технологиями для того, чтобы пользователи больше знали о своих рисках и чтобы развивать работоспособные методы противодействия вредоносным атакам».