Artikel top billede

Ny forskning: Din hjerne kan blive mål for hackere

Bestemte headset, som især computerspillere anvender, kan medføre alvorlige sikkerhedsrisici.

Computerworld News Service: Et hold af forskere har vist, at det er muligt at stjæle adgangskoder og andre personlige oplysninger med frit tilgængelige spilteknologier, der måler hjerneaktivitet.

Forskere fra University of Oxford, University of Geneva og University of California Berkeley demonstreret, at det er muligt, at hacke hjernen ved hjælp af software, der er bygget til at fungere sammen med det elektroencefalografiske (EEG-)headset Emotiv EPOC til 1.800 kroner.

Der udvikles i dag software, der kan modtage input i form af signaler via Bluetooth fra EPOC og andre såkaldte hjerne-computer-grænseflader (brain-computer interfaces, BCI) såsom MindWave fra NeuroSky.

Når udviklere, forskere og spilfirmaer arbejder med den slags, må man gå ud fra, at det også er noget, datakriminelle i det mindste overvejer.

Kan vendes mod brugerne

"Sikkerhedsrisiciene ved at bruge forbrugerorienterede BCI-apparater er aldrig blevet undersøgt og der findes ingen forskning i, hvad skadelig software med adgang til et sådant apparat kan gøre," skriver forskerne i en forskningsartikel, der blev præsenteret i juli ved computerkonferencen USENIX.

"Vi tager her det første skridt i en kortlægning af de sikkerhedsmæssige problemstillinger ved sådanne apparater og demonstrerer, at denne fremspirende teknologi kan blive vendt mod dens brugere og misbrugt til at afsløre private og hemmelige oplysninger."

Forskerne har demonstreret, at den software, de udviklede til at læse signaler fra EPOC, forbedrede chancerne væsentligt for at gætte forsøgsdeltagernes PIN-koder, hvor de boede, hvem de kendte, hvornår de var født og navnet på deres bank.

Anvender sensorer

Apparatet fra Emotiv, der bruges til computerspil og som en slags håndfri tastatur, anvender sensorer rundt om brugerens hoved til at optage hjernens elektriske aktivitet.

Den elektriske spænding i dele af hjernen stiger, når man ser noget, man genkender, så måling af disse udsving gør det muligt at indsamle oplysninger om folk ved blot at vise dem en række billeder.

Forskerne gennemførte deres forsøg på 28 datalogistuderende. I PIN-kode-forsøget valgte hver forsøgsperson et firecifret tal og skulle herefter se på en skærm, hvor tallene 0 til 10 blev vist for hvert ciffer.

Mens forsøgspersonerne fik vist disse tal, målte forskerne den elektriske aktivitet i deres hjerner ved hjælp af EPOC-headsettet.

Sådan kan din hjerne hackes

Samme tilgang blev anvendt i de andre forsøg.

Forsøgspersonerne fik for eksempel vist billeder af hævekort for at afgøre afgøre hvilken bank, de anvender, og billeder af andre mennesker for at afgøre, hvem de kender.

Forskernes chance for at gætte rigtigt steg som regel til mellem 20 og 30 procent fra 10 procent uden disse input.

Der var dog en væsentlig undtagelse i forhold til at gætte, hvilken måned forsøgspersonerne var født. Her steg succesraten til op til 60 procent.

Virker ikke særligt godt

Den generelle pålidelighed af denne teknik er dog ikke høj nok til angreb mod få individer.

"Angrebet virker, men ikke særligt pålideligt," kommenterer Mario Frank fra UC Berkeley.

"Med det udstyr vi anvendte, kan man ikke være sikker på, at man har fundet det rigtige svar."

Kriminelle ville således være nødt til at udvikle malware, der kunne distribueres til så mange ofre som muligt.

Lille andel kan være nok

En sådan taktik bruges da også i dag ved distribution af malware via e-mail, da de kriminelle er klar over, at det kun er en lille andel af modtagerne, der faktisk åbner de vedhæftede skadelige filer.

Denne lille andel er dog nok til at skabe botnet, der består af hundredtusinder af computere.

Der er dog stadig i dag for få brugere af BCI-apparater til at lancere angreb i stor målestok.

Desuden køber brugerne indtil videre softwaren direkte fra producenterne, så det ville også være svært for kriminelle at distribuere malwaren.

Der kan dog opstå en sikkerhedsrisiko i fremtiden, hvis sådanne apparater til måling af hjerneaktivitet bliver en udbredt måde at interagere med computere på, og hvis brugerne kan købe specialiserede apps via app-butikker på nettet, ligesom det er tilfældet med apps til for eksempel Android.

Bør udvikle sikkerhedsmekanismer

For at reducere risikoen bør producenterne af disse apparater omgående begynde at udvikle sikkerhedsmekanismer såsom at begrænse hvilke typer af informationer, softwaren kan modtage fra headsettet, til kun de data applikationen har brug for, anbefaler forskerne.

"En af de ting, man kunne forbedre, er for eksempel at sørge for, at selve apparatet udfører en vis forbehandling og kun outputter de data, der er brug for til det givne formål," foreslår Frank.

Sådanne forholdsregler bør indføres omgående for at forhindre unødvendige risici i fremtiden, bemærker han.

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Alfapeople Nordic A/S
Rådgivning, implementering, udvikling og support af software og it-løsninger indenfor CRM og ERP.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Strategisk IT-sikkerhedsdag 2022 - identificer, beskyt og forsvar

IT-sikkerhedstruslerne mod virksomhederne er i takt med tiden blevet større og værre, fordi virksomhederne er mere end nogensinde før afhængige af data og IT. Det stiller krav til de IT-ansvarlige, der konstant skal tage bestik af det skiftende trusselniveau. Det kræver blandt andet, at it-sikkerhed bliver sat på den strategiske dagsorden i virksomhederne – men hvordan?

25. januar 2022 | Læs mere


Hjemmearbejdets påvirkning på trivsel, helbred og arbejdsmiljø

Fremtidens arbejdsplads er hybrid, det er der ingen tvivl om. Men hvad fører det egentlig med sig? Og hvordan omstiller du og din arbejdsplads sig til det? Det kan du blive klogere på, på denne digitale konference.

02. februar 2022 | Læs mere


GDPR - persondatabeskyttelse i praksis

Håndteringen af persondata og GDPR er for længst blevet hverdag hos de danske organisationer, men derfor er det til stadighed vigtigt og altafgørende, at den løbende overholdelse af GDPR er på plads. Vær med og hør, hvordan du ved hjælp af processuelle greb, værktøjer og systemer kan sikre dette.

08. februar 2022 | Læs mere






CIO
Sådan tager top-CIO Pernille Geneser livtag med 40 år gamle it-systemer i Stark Group med 10.000 medarbejdere