Computerworld News Service: Et hold af forskere har vist, at det er muligt at stjæle adgangskoder og andre personlige oplysninger med frit tilgængelige spilteknologier, der måler hjerneaktivitet.
Forskere fra University of Oxford, University of Geneva og University of California Berkeley demonstreret, at det er muligt, at hacke hjernen ved hjælp af software, der er bygget til at fungere sammen med det elektroencefalografiske (EEG-)headset Emotiv EPOC til 1.800 kroner.
Der udvikles i dag software, der kan modtage input i form af signaler via Bluetooth fra EPOC og andre såkaldte hjerne-computer-grænseflader (brain-computer interfaces, BCI) såsom MindWave fra NeuroSky.
Når udviklere, forskere og spilfirmaer arbejder med den slags, må man gå ud fra, at det også er noget, datakriminelle i det mindste overvejer.
Kan vendes mod brugerne
"Sikkerhedsrisiciene ved at bruge forbrugerorienterede BCI-apparater er aldrig blevet undersøgt og der findes ingen forskning i, hvad skadelig software med adgang til et sådant apparat kan gøre," skriver forskerne i en forskningsartikel, der blev præsenteret i juli ved computerkonferencen USENIX.
"Vi tager her det første skridt i en kortlægning af de sikkerhedsmæssige problemstillinger ved sådanne apparater og demonstrerer, at denne fremspirende teknologi kan blive vendt mod dens brugere og misbrugt til at afsløre private og hemmelige oplysninger."
Forskerne har demonstreret, at den software, de udviklede til at læse signaler fra EPOC, forbedrede chancerne væsentligt for at gætte forsøgsdeltagernes PIN-koder, hvor de boede, hvem de kendte, hvornår de var født og navnet på deres bank.
Anvender sensorer
Apparatet fra Emotiv, der bruges til computerspil og som en slags håndfri tastatur, anvender sensorer rundt om brugerens hoved til at optage hjernens elektriske aktivitet.
Den elektriske spænding i dele af hjernen stiger, når man ser noget, man genkender, så måling af disse udsving gør det muligt at indsamle oplysninger om folk ved blot at vise dem en række billeder.
Forskerne gennemførte deres forsøg på 28 datalogistuderende. I PIN-kode-forsøget valgte hver forsøgsperson et firecifret tal og skulle herefter se på en skærm, hvor tallene 0 til 10 blev vist for hvert ciffer.
Mens forsøgspersonerne fik vist disse tal, målte forskerne den elektriske aktivitet i deres hjerner ved hjælp af EPOC-headsettet.
Sådan kan din hjerne hackes
Samme tilgang blev anvendt i de andre forsøg.
Forsøgspersonerne fik for eksempel vist billeder af hævekort for at afgøre afgøre hvilken bank, de anvender, og billeder af andre mennesker for at afgøre, hvem de kender.
Forskernes chance for at gætte rigtigt steg som regel til mellem 20 og 30 procent fra 10 procent uden disse input.
Der var dog en væsentlig undtagelse i forhold til at gætte, hvilken måned forsøgspersonerne var født. Her steg succesraten til op til 60 procent.
Virker ikke særligt godt
Den generelle pålidelighed af denne teknik er dog ikke høj nok til angreb mod få individer.
"Angrebet virker, men ikke særligt pålideligt," kommenterer Mario Frank fra UC Berkeley.
"Med det udstyr vi anvendte, kan man ikke være sikker på, at man har fundet det rigtige svar."
Kriminelle ville således være nødt til at udvikle malware, der kunne distribueres til så mange ofre som muligt.
Lille andel kan være nok
En sådan taktik bruges da også i dag ved distribution af malware via e-mail, da de kriminelle er klar over, at det kun er en lille andel af modtagerne, der faktisk åbner de vedhæftede skadelige filer.
Denne lille andel er dog nok til at skabe botnet, der består af hundredtusinder af computere.
Der er dog stadig i dag for få brugere af BCI-apparater til at lancere angreb i stor målestok.
Desuden køber brugerne indtil videre softwaren direkte fra producenterne, så det ville også være svært for kriminelle at distribuere malwaren.
Der kan dog opstå en sikkerhedsrisiko i fremtiden, hvis sådanne apparater til måling af hjerneaktivitet bliver en udbredt måde at interagere med computere på, og hvis brugerne kan købe specialiserede apps via app-butikker på nettet, ligesom det er tilfældet med apps til for eksempel Android.
Bør udvikle sikkerhedsmekanismer
For at reducere risikoen bør producenterne af disse apparater omgående begynde at udvikle sikkerhedsmekanismer såsom at begrænse hvilke typer af informationer, softwaren kan modtage fra headsettet, til kun de data applikationen har brug for, anbefaler forskerne.
"En af de ting, man kunne forbedre, er for eksempel at sørge for, at selve apparatet udfører en vis forbehandling og kun outputter de data, der er brug for til det givne formål," foreslår Frank.
Sådanne forholdsregler bør indføres omgående for at forhindre unødvendige risici i fremtiden, bemærker han.
Oversat af Thomas Bøndergaard
