Araştırmada, yaklaşık 20.000 DPI çözünürlüğe sahip, piyasada 35 dolara satılan bir optik fare kullanıldı. Fare sensörü, kullanıcının konuşması sonucu masada oluşan mikroskobik titreşimleri ölçüyor. Bu ham titreşim verileri önce bir Wiener filtresi ile gürültüden arındırılıyor, ardından yapay zekâ tabanlı bir dil modeline gönderilerek konuşmanın içeriği tahmin ediliyor. Deneylerde yazılım tabanlı analizle konuşmalar %61 doğruluk oranına kadar tespit edilebildi; özellikle sayılar ve kısa kelimeler diğer kelime gruplarına göre daha net çözülebiliyor.
SALDIRI ADIMLARI — SALDIRGAN NE YAPMALI?
Mic-E-Mouse saldırısının çalışabilmesi için bilgisayara öncelikle zararlı bir yazılım (malware) yüklenmesi gerekiyor. Araştırma ekibi, fare sensörü verilerinin çoğu antivirüs yazılımı tarafından yeterince korunmadığını; dolayısıyla zararlı bir uygulamanın bu verileri kolayca toplayıp dışarı aktarabileceğini vurguluyor. Basit bir “görünüşte zararsız” uygulama bile bu verileri kötüye kullanabilir.
HANGİ VERİLER TEHLİKEDE?
Konuşma içeriği: Özellikle yüksek sesle söylenen sayılar (ör. kredi kartı, telefon numarası) ve kısa sözcükler daha yüksek oranda tespit edilebiliyor.
Adım sesleri ve tuş vuruşları: Araştırma, farenin sadece konuşmayı değil, masa üzerindeki adım titreşimlerini ve klavye tuş vuruşlarını da algılayabildiğini gösterdi. Her tuşun farklı titreşim profili olduğundan, yeterli veri toplandığında yazılan metinlerin kısmen çözülebilmesi mümkün.
SINIRLAR — HER ORTAMDA ÇALIŞMIYOR
Ekip, yöntemin evrensel ve kusursuz olmadığını da belirtiyor.
Deneylerde; düz, sert yüzeyler (ör. sert masa) üzerinde dinleme performansı daha yüksek çıkarken, mouse pad, masa örtüsü veya yumuşak yüzeyler etkinliği ciddi oranda azalttı.
Gürültülü ortamlar, titreşimli makineler veya dış etkenler verinin kalitesini düşürüyor.
Mic-E-Mouse’un ruhi durumda anlık kesin teşhis koymak yerine istatistiksel ilişki ve kısmi yeniden üretim sağladığı vurgulanıyor.
ÜRETİCİLER VE SAVUNMA ÇABALARI
UC Irvine ekibi, bulgularını 26 farklı fare üreticisine ileterek sensör verilerinin güvenliği için yazılım yamaları ve koruma mekanizmaları geliştirilmesini talep etti. Araştırmacılar, üreticilerin sensör verilerinin erişimini sıkılaştırmaları, işletim sistemi ve sürücü düzeyinde izin denetimleri eklemeleri gerektiğini söylüyor; bazı firmaların şimdiden sensör verilerini filtrelemeye veya sınırlandırmaya yönelik güncellemeler üzerinde çalıştığı bildirildi.
Araştırmacı Mohamad Fakih, on yılı aşkın süredir yan kanal (side-channel) saldırıları araştırdıklarını; Mic-E-Mouse projesinin ise yaklaşık iki buçuk yıllık bir çalışmanın ürünü olduğunu belirtti. Ekip ayrıca, benzer prensiplerin drone sensörleri gibi başka cihazlarda da konuşma algılamaya uygulanıp uygulanamayacağını araştırıyor.
KULLANICILAR NE YAPMALI? PRATİK ÖNLEMLER
Uzmanların ve araştırmacıların önerileri şöyle:
Güncel yazılım kullanın: İşletim sistemi, antivirüs ve fare sürücülerini güncel tutun.
Donanım bazlı önlem: Mümkünse fareyi yumuşak yüzey (mouse pad) üzerinde kullanın ya da masanın üzerine ince bir örtü yerleştirin; bu basit önlem titreşim iletimini zayıflatıyor.
Gereksiz uygulamalara dikkat: Bilinmeyen veya güvenilmeyen uygulamalara fare/sensör erişimi vermeyin. İzinleri gözden geçirip sınırlandırın.
Kredi kartı vb. hassas bilgileri yüksek sesle söylemeyin: Özellikle halka açık ya da bilgisayar başında iken sözlü olarak paylaşmaktan kaçının.
Fiziksel güvenlik: Kritik konuşmalar için bilgisayar ve çevresinin dinlenmediğinden emin olun; gerektiğinde mikrofonu fiziksel olarak kapatın veya uzaklaştırın.
NEDEN ÖNEMLİ?
Mic-E-Mouse çalışması, bilgi güvenliğinde gözden kaçan bir zafiyeti “gün ışığına” çıkarıyor: Günümüzde pek çok cihazın sahip olduğu yüksek hassasiyetli sensörler, beklenmedik yan kanal saldırılarına imkan verebiliyor. Araştırma, klasik ağ ve yazılım güvenliğinin ötesinde donanım kaynaklı risklerin de dikkatle ele alınması gerektiğini bir kez daha hatırlatıyor.
