Ny forskning: Din hjerne kan blive mål for hackere

Bestemte headset, som især computerspillere anvender, kan medføre alvorlige sikkerhedsrisici.

Artikel top billede

Computerworld News Service: Et hold af forskere har vist, at det er muligt at stjæle adgangskoder og andre personlige oplysninger med frit tilgængelige spilteknologier, der måler hjerneaktivitet.

Forskere fra University of Oxford, University of Geneva og University of California Berkeley demonstreret, at det er muligt, at hacke hjernen ved hjælp af software, der er bygget til at fungere sammen med det elektroencefalografiske (EEG-)headset Emotiv EPOC til 1.800 kroner.

Der udvikles i dag software, der kan modtage input i form af signaler via Bluetooth fra EPOC og andre såkaldte hjerne-computer-grænseflader (brain-computer interfaces, BCI) såsom MindWave fra NeuroSky.

Når udviklere, forskere og spilfirmaer arbejder med den slags, må man gå ud fra, at det også er noget, datakriminelle i det mindste overvejer.

Kan vendes mod brugerne

"Sikkerhedsrisiciene ved at bruge forbrugerorienterede BCI-apparater er aldrig blevet undersøgt og der findes ingen forskning i, hvad skadelig software med adgang til et sådant apparat kan gøre," skriver forskerne i en forskningsartikel, der blev præsenteret i juli ved computerkonferencen USENIX.

"Vi tager her det første skridt i en kortlægning af de sikkerhedsmæssige problemstillinger ved sådanne apparater og demonstrerer, at denne fremspirende teknologi kan blive vendt mod dens brugere og misbrugt til at afsløre private og hemmelige oplysninger."

Forskerne har demonstreret, at den software, de udviklede til at læse signaler fra EPOC, forbedrede chancerne væsentligt for at gætte forsøgsdeltagernes PIN-koder, hvor de boede, hvem de kendte, hvornår de var født og navnet på deres bank.

Anvender sensorer

Apparatet fra Emotiv, der bruges til computerspil og som en slags håndfri tastatur, anvender sensorer rundt om brugerens hoved til at optage hjernens elektriske aktivitet.

Den elektriske spænding i dele af hjernen stiger, når man ser noget, man genkender, så måling af disse udsving gør det muligt at indsamle oplysninger om folk ved blot at vise dem en række billeder.

Forskerne gennemførte deres forsøg på 28 datalogistuderende. I PIN-kode-forsøget valgte hver forsøgsperson et firecifret tal og skulle herefter se på en skærm, hvor tallene 0 til 10 blev vist for hvert ciffer.

Mens forsøgspersonerne fik vist disse tal, målte forskerne den elektriske aktivitet i deres hjerner ved hjælp af EPOC-headsettet.

Sådan kan din hjerne hackes

Samme tilgang blev anvendt i de andre forsøg.

Forsøgspersonerne fik for eksempel vist billeder af hævekort for at afgøre afgøre hvilken bank, de anvender, og billeder af andre mennesker for at afgøre, hvem de kender.

Forskernes chance for at gætte rigtigt steg som regel til mellem 20 og 30 procent fra 10 procent uden disse input.

Der var dog en væsentlig undtagelse i forhold til at gætte, hvilken måned forsøgspersonerne var født. Her steg succesraten til op til 60 procent.

Virker ikke særligt godt

Den generelle pålidelighed af denne teknik er dog ikke høj nok til angreb mod få individer.

"Angrebet virker, men ikke særligt pålideligt," kommenterer Mario Frank fra UC Berkeley.

"Med det udstyr vi anvendte, kan man ikke være sikker på, at man har fundet det rigtige svar."

Kriminelle ville således være nødt til at udvikle malware, der kunne distribueres til så mange ofre som muligt.

Lille andel kan være nok

En sådan taktik bruges da også i dag ved distribution af malware via e-mail, da de kriminelle er klar over, at det kun er en lille andel af modtagerne, der faktisk åbner de vedhæftede skadelige filer.

Denne lille andel er dog nok til at skabe botnet, der består af hundredtusinder af computere.

Der er dog stadig i dag for få brugere af BCI-apparater til at lancere angreb i stor målestok.

Desuden køber brugerne indtil videre softwaren direkte fra producenterne, så det ville også være svært for kriminelle at distribuere malwaren.

Der kan dog opstå en sikkerhedsrisiko i fremtiden, hvis sådanne apparater til måling af hjerneaktivitet bliver en udbredt måde at interagere med computere på, og hvis brugerne kan købe specialiserede apps via app-butikker på nettet, ligesom det er tilfældet med apps til for eksempel Android.

Bør udvikle sikkerhedsmekanismer

For at reducere risikoen bør producenterne af disse apparater omgående begynde at udvikle sikkerhedsmekanismer såsom at begrænse hvilke typer af informationer, softwaren kan modtage fra headsettet, til kun de data applikationen har brug for, anbefaler forskerne.

"En af de ting, man kunne forbedre, er for eksempel at sørge for, at selve apparatet udfører en vis forbehandling og kun outputter de data, der er brug for til det givne formål," foreslår Frank.

Sådanne forholdsregler bør indføres omgående for at forhindre unødvendige risici i fremtiden, bemærker han.

Oversat af Thomas Bøndergaard

Computerworld Events

Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.

Sikkerhed | Højbjerg, Aarhus

Cyber Security Summit 2026 - Aarhus

Lær om organisationers evne til at modstå, håndtere og komme videre efter alvorlige digitale hændelser, herunder ledelsesansvar, forretningskritiske afhængigheder og de valg, der afgør, om plan B holder, når systemer eller leverandører svigter.

Digital transformation | Aarhus

AI i det offentlige - Aarhus

Hør hvordan offentlige AI-løsninger skaleres til stabil drift med reel effekt. Få erfaringer, arkitekturvalg og styringsgreb fra frontløbere. Lær at bygge fælles AI-infrastruktur med ansvarlighed, sikkerhed og compliance.

Digital transformation | Køge

Derfor skal du videre fra Dynamics AX – og sådan gør du

Computerworld giver klar viden om vejen videre fra Dynamics AX. Du ser forskellen mellem AX og moderne cloud-ERP og får et konkret beslutningsgrundlag for næste skridt. Tilmeld dig og få styr på skiftet til Dynamics 365 FO eller BC.

Se alle vores events inden for it

Navnenyt fra it-Danmark

Pinksky ApS har pr. 1. maj 2026 ansat Dan Toft, 29 år,  som Rådgivende konsulent, Partner. Han skal især beskæftige sig med digitalisering med Microsoftplatformen. Han kommer fra en stilling som Microsoft 365 & SharePoint Specialist hos Evobis ApS. Han er uddannet datamatiker. Han har tidligere beskæftiget sig med Microsoft 365 og SharePoint udvikling. Nyt job

Dan Toft

Pinksky ApS

Renewtech ApS har pr. 1. april 2026 ansat Boris Sudar som Senior IT Specialist. Han skal især beskæftige sig med at sikre, at Renewtech cloudbaseret infrastruktur fortsætter på sit højeste niveau, mens han også skal drive system udvikling. Han kommer fra en stilling som Senior IT Specialist hos Eurowind Energy. Han har tidligere beskæftiget sig med Microsoft 365, Intune og sikker endepunktsstyring for hybrid og cloudbaseret infrastrukturer. Nyt job

Boris Sudar

Renewtech ApS

Immeo har pr. 1. maj 2026 ansat Sofie Amalie Buur som Consultant. Hun kommer fra en stilling som Frontend Engineer & UI/UX Designer hos Valyrion. Hun er uddannet Cand.it. Softwaredesign ved ITU. Nyt job
Elbek & Vejrup A/S har pr. 1. juni 2026 ansat Mikkel Bernt Buchvardt som AI Architect & Product Manager. Han skal især beskæftige sig med udviklingen af AI-Services og AI-Agenter i og omkring Business Central. Han kommer fra en stilling som Lead Data & Analytics hos IBM. Han er uddannet MSc. i softwareudvikling fra ITU. Han har tidligere beskæftiget sig med Data og BI hos KMD og Seges Innovation. Nyt job

Mikkel Bernt Buchvardt

Elbek & Vejrup A/S