Cos’è CoAtNet? Il programma informatico consentirebbe ad un’intelligenza artificiale di acquisire la nostra password solo ascoltando il rumore provocato dalla digitazione dei tasti.
L’invenzione è da attribuire alla collaborazione di un gruppo di ricercatori appartenenti a tre università inglesi.
CoAtNet sfrutta l’acquisizione tramite un registratore, che può essere sullo stesso dispositivo di digitazione oppure ad esempio quello di uno smartphone esterno, per convertire il suono in parole con una procedura di deep learning.
Il team di sviluppatori assicura una sorprendente affidabilità anche senza la necessità di avere un microfono fisico nei pressi della tastiera con cui si immettono i dati.
Se confermata la sua straordinaria capacità, CoAtNet potrebbe essere usato per scopi fraudolenti e minacciare così la cybersicurezza.
Il primo passo per il funzionamento del sistema di keylogging è stato quello dell’addestramento. I ricercatori hanno permesso all’intelligenza artificiale di acquisire il suono generato da ognuno dei 36 tasti che compongono una tastiera di un MacBook Pro, ovvero tutte le lettere dell’alfabeto inglese dalla a alla z e le cifre da 0 a 9.
La pressione su ognuno di essi è stata ripetuta 25 volte in modo che il dispositivo registrasse alla perfezione la differenza di suono.
Nella procedura i ricercatori hanno anche cambiato il dito con cui premere il singolo simbolo, oltre ad esercitare pressioni di entità differenti.
Ciò ha simulato la digitazione di diverse persone, ampliando il più possibile il range di casista. Nella realtà infatti non tutti premono i tasti con la stessa modalità, basti solo pensare alle persone che preferiscono inserire i valori usando la sola mano dominante oppure a chi imprime una pressione più decisa e prolungata.
Dai dati acustici sono state poi elaborate le onde di propagazione del suono e il relativo spettrogramma. Questi sono stati poi confrontati in modo da evidenziare le discrepanze tra i tasti in modo che il programma acquisisse anche la minima differenza.
Una volta completata la fase di addestramento, CoAtNet è stato testato sul campo. In primo luogo si è proceduto nel digitare una password facendo registrare il suono ad un microfono di un iPhone 13 mini posto nelle immediate vicinanze.
L’intelligenza artificiale ha dato ottimi risultati fin quando la tastiera di digitazione e la sorgente di registrazione fossero ad una mutua distanza al massimo di 20 cm.
Successivamente gli sviluppatori hanno ripetuto il test anche da remoto attraverso l’uso del software di videocomunicazione Zoom.
In questa circostanza CoAtNet ha agito in maniera più difficoltosa poiché il trasferimento del dato sonoro era influenzato dal sistema di soppressione del rumore d’ambiente gestito dalla stessa piattaforma di comunicazione.
Nel caso di registrazione diretta attraverso smartphone il software ha dato un successo del 95% mentre da remoto la percentuale è del 93%.
Una simile tecnologia potrebbe essere utilizzata però per scopi fraudolenti. Potenzialmente un cyber criminale potrebbe appropriarsi delle nostre chiavi di accesso solo acquisendo il rumore della digitazione di una password.
E se lo sviluppo di questa intelligenza artificiale portasse ad aumentare la percentuale di accuratezza da remoto la nostra cybersicurezza sarebbe ancor più minacciata.
Un hacker infatti potrebbe attivare il microfono del nostro dispositivo tramite software spyware e registrare così la pressione dei tasti. Inutile sottolineare che ciò comporti un notevole rischio non solo per i dati delle carte di credito o conti bancari ma anche alla nostra privacy.
L’algoritmo utilizzato da CoAtNet possiede però enormi limitazioni. Il sistema di acquisizione dati è relativo alla singola tastiera e difficilmente potrebbe essere adattato ad ogni tipologia poiché il rumore di pressione varia a seconda dei modelli.
Il software poi non riesce a distinguere se la lettera premuta è minuscola o maiuscola poiché tenendo attivo il tasto Caps Lock o schiacciando contemporaneamente il simbolo Block Maiusc il rumore non varia. Un ottimo modo per impedire l’attacco di hacker è pertanto quello di usare chiavi di accesso con sequenze contenenti causalmente lettere maiuscole e minuscole.
CoAtNet è notevolmente sensibile ai rumori di fondo. Per impedire così che venga carpita la propria password dal suono di digitazione è sufficiente operare in un ambiente rumoroso ad esempio riproducendo una canzone di sottofondo o anche solo parlando.