黑客能通过脑波窃取密码

美国阿拉巴马大学伯明翰分校(UAB)的研究者揭示黑客可以通过监控用户的脑波猜测出密码，因此脑波传感耳机，又名EEG或者脑电扫描耳机，需要更好的安全性。

EEG耳机号称能使用户仅使用脑波就控制机器玩具和专门研发出来用于戴上EEG耳机玩的电子游戏，价格从150美元到800美元不等。

UAB艺术与科学学院计算与信息科学系副教授Nitesh Saxena和博士研究生Ajaya Neupane以及前硕士研究生Md Lutfor Rahman发现，一个戴着EEG耳机的人暂停电子游戏转而登陆银行账户，就有可能被恶意软件程序窃取密码或者其他敏感信息。

credit: 煎蛋画师PAX-12

Saxena说道：“这些新兴设备为日常用户们提供了广阔的机遇。但是，随着各大公司研究更先进的脑机接口技术，这些设备也会引发严重的安全性和隐私威胁。”

Saxena和他的团队使用一套目前消费者可买到的EEG耳机和一个临床级耳机进行科学研究，以演示恶意软件程序能多么轻易地被动窃听用户的脑波。在打字的时候，用户的输入对应于他们的视觉处理和手、眼以及头部肌肉移动。所有这些移动都被EEG耳机捕捉到。团队令12个人将一系列随机产生的PIN码和密码输入到文本框中，就像是他们正戴着EEG耳机登陆网上账户一样，借此令软件自身根据用户的输入和响应的脑波进行训练。

Saxena说道：“在实际的攻击中，黑客可能要求用户输入预先设定的数字集以在暂停后重启游戏，类似于CAPTCHA验证用户登录网站的手段，利用这一训练步骤使得恶意程序达到最准确的性能。”

团队发现，在用户输入200字符之后，恶意程序内的算法就能通过监控记录的EEG数据有根据地猜测用户输入的新字符。这一算法能将黑客猜中四位数字PIN码的几率从万分之一缩小到20分之1，并将猜中6位字母密码的几率从50万分之1缩小到500分之1。

EEG被用于医疗领域已经50多年了，作为非侵入式方式记录脑部电活动。将电极放置在头皮上检测脑波。EEG机器然后放大信号，并以波的形式将其记录在图纸或者计算机中。EEG能与脑机接口相结合使人控制外部设备。这一技术曾一度非常昂贵，大多用于科研，比如神经义肢技术帮助残疾人通过想象移动来控制义肢。但现在已经以无线耳机的形式面向消费者和市场了，并在游戏和娱乐产业愈加流行。

Saxena说道：“鉴于EEG耳机不断增长的流行性和使用方式的多样性，这将不可避免地成为我们日常生活的一部分，包括使用其他设备。分析潜在的安全性和隐私风险来提高用户对风险的意识，研发应对恶意攻击更可靠的解决方案至关重要。”

Saxena和他的团队提出的一个可能解决方案是在用户戴着EEG耳机输入密码或者PIN码的任意时间插入噪声。

站内相关阅读：用你独特的大脑设计终极安全密码

论文原文：PEEP: Passively Eavesdropping Private Input via Brainwave Signals

本文译自 phys，由 CliffBao 编辑发布。Tiffany Westry Womack