Sử dụng sóng não để đoán mật khẩu

08:55 | 24/08/2017

Phần mềm độc hại có thể đánh cắp mật khẩu và các dữ liệu riêng tư của người dùng bằng việc sử dụng giao diện não bộ.

Epoc+, một thiết bị nhận diện sóng não, được sản xuất bởi công ty Emotiv với giá khoảng 800 USD, có khả năng phát hiện được những biểu lộ cảm xúc của người dùng như sự thất vọng hay sự xúc động. Bên cạnh đó, thiết bị này còn cho phép người dùng điều khiển robot thông qua ý nghĩ.

Nitesh Saxena - Phó Giáo sư của trường Đại học Alabama ở Birmingham (Anh) cho biết, thiết bị này còn hỗ trợ chương trình phần mềm phán đoán mã PIN và mật khẩu thông qua việc theo dõi sóng não của người dùng. Tuy đây chỉ là một minh chứng nhỏ, nhưng cũng làm dấy lên một viễn cảnh về an ninh giao diện não bộ, vấn đề mà các nhà nghiên cứu cho rằng các thiết bị tương tự hiện có cần được bảo mật tốt hơn.

Phát biểu về viễn cảnh khi dữ liệu cá nhân có thể bị đánh cắp bởi một giao diện não bộ, Saxena chobiết, thiết bị càng hiện đại thì tính rủi ro càng cao. Mọi người cần cân nhắc thận trọng về việc đảm bảo riêng tư và an toàn của những thiết bị giao diện não bộ; những rủi ro về an ninh ngày càng lớn khi Facebook và một công ty khởi nghiệp mới của Elon Musk cùng những công ty khác đang nghiên cứu sâu hơn về giao diện này.

Thiết bị Epoc+ có thể sử dụng các điện cực để phát hiện sự thay đổi điện áp ở lớp ngoài của não bộ, một phương pháp được gọi là điện não đồ (EEG-electroencephalogram). Những thiết bị cùng loại như thế này thường được sử dụng trong công tác nghiên cứu và trong y học, nhằm thực hiện các nhiệm vụ như: điều khiển robot, chuẩn đoán sự chấn động, và bán cho người tiêu dùng như những bộ điều khiển trò chơi. Do vậy, không thể sử dụng các tín hiệu EEG một cách đơn giản để suy đoán những gì mà một người đang suy nghĩ hay đang làm, bởi vì những tín hiệu mà EEG cung cấp là chưa đủ, chưa được xử lý. Tuy nhiên, các cuộc thí nghiệm của trường đại học Alabama cũng củng cố thêm bằng chứng cho thấy chúng vẫn có thể làm lộ thông tin cá nhân.

Một giả thuyết mới được thử nghiệm dựa trên ý tưởng cho rằng, một người đang chơi trò chơi điện tử, tạm dừng chơi và đăng nhập vào tài khoản ngân hàng trong khi vẫn đeo bộ tai nghe EEG, thì có thể sẽ đối mặt với nguy cơ bị đánh cắp thông tin cá nhân thông qua sóng não từ phần mềm độc hại.

Việc vẫn đeo tai nghe EEG trong khi nhập mã PIN và mật khẩu có thể cho phép phần mềm tìm ra mối tương quan giữa việc đánh máy và sóng não của người sử dụng. Saxena cho rằng, bước học tập này của phần mềm có thể đạt được trong thế giới thật thông qua một trò chơi mà trong đó những người chơi được hỏi nhập văn bản hoặc mã số như một phần của trò chơi.



Người dùng có muốn một giao diện não máy tính?

Sau khi quan sát một người nhập 200 ký tự, các thuật toán có thể học cách dự đoán được những ký tự tiếp theo mà người đó sẽ nhập bằng việc theo dõi dữ liệu EEG. Điều này có thể cho phép một trò chơi bị tích hợp phần mềm độc hại đánh cắp dữ liệu của người dùng khi họ nghỉ giải lao giữa trò chơi và truy cập vào mạng. Mặc dù các thuật toán tự học như ở trên còn cần nhiều thời gian mới đạt được mức độ hoàn hảo, nhưng chúng cũng giúp rút ngắn được tỷ lệ dự đoán mã PIN gồm bốn chữ số từ 1 trong 10.000 xuống còn tỷ lệ 1 trong 20 và làm tăng cơ hội đoán được một mật khẩu 6 chữ lên khoảng 500.000 lần, tỷ lệ lúc ấy vào khoảng 1 trong 500.

Khi được hỏi về nghiên cứu này, người phát ngôn của công ty Emotive nói rằng, một cuộc tấn công như vậy là không thể xảy ra trên thực tế. Người dùng sẽ nghi ngờ nếu phần mềm cố gắng dẫn họ tới các bài huấn luyện nhằm vào mục đích dự đoán ký tự tiếp theo sẽ nhập vào, đồng thời Emotive cũng chứng minh rằng tất cả phần mềm của họ chỉ dùng để kết nối tới thiết bị.

Tuy nhiên Alejandro Hernández, một nhà nghiên cứu an ninh cùng với IOActive đã tiến hành xem xét lại việc bảo mật giữa phần cứng EEG và các phền mềm liên quan, lo ngại rằng tấn công Alabama có thể khả thi 100%. Nghiên cứu chỉ ra rằng, nhiều phần mềm EEG đang sử dụng ngày nay không được thiết kế tốt về bảo mật và chúng có thể dễ dàng bị tấn công.

Những nhà nghiên cứu ở trường Đại học Washington đã minh họa một phương pháp khác để trích xuất thông tin cá nhân thông qua một thiết bị EEG. Họ đã tạo ra các trò chơi bằng cách chiếu hình ảnh - ví dụ như biểu tượng ngân hàng lên màn hình trong một khoảng thời gian ngắn và ghi lại khi nhận dạng được sóng não của một người. Tamara Bonaci, một nhà nghiên cứu tham gia vào thí nghiệm trên cho rằng, việc nhận diện sóng não có thể cung cấp dữ liệu có giá trị cho các chiến dịch quảng cáo lừa đảo.

Các nhà nghiên cứu ở Đại học Washington cũng cho rằng, một trong những động lực thúc đẩy nghiên cứu của họ là mục đích mà các công ty đã tích cực thu thập thông tin chung từ người sử dụng Web và từ các thiết bị di động. Thậm chí, ngay cả khi không có dữ liệu về não, thì trước đó, các công ty đã tìm kiếm những manh mối về cảm xúc của người sử dụng trong các văn bản để đánh giá trạng thái tình cảm của người dùng; dựa vào các tài liệu đã được tiết lộ trên tờ báo Australian thì Facebook đã cân nhắc nhắm quảng cáo tới các đối tượng là thanh niên dựa trên cảm xúc của họ. 

Nhà nghiên cứu Bonaci cho biết, các công ty sản xuất nên tích hợp những giải pháp về an ninh, an toàn vào thiết bị EEG ngay từ bây giờ, bởi vì những nguy cơ về bảo mật đang ngày càng tăng, cùng với những tiến bộ trong việc tích luỹ kiến thức của học máy đang giúp các nhà nghiên cứu truy xuất được nhiều hơn từ dữ liệu EEG.