Artikel top billede

Ny forskning: Din hjerne kan blive mål for hackere

Bestemte headset, som især computerspillere anvender, kan medføre alvorlige sikkerhedsrisici.

Computerworld News Service: Et hold af forskere har vist, at det er muligt at stjæle adgangskoder og andre personlige oplysninger med frit tilgængelige spilteknologier, der måler hjerneaktivitet.

Forskere fra University of Oxford, University of Geneva og University of California Berkeley demonstreret, at det er muligt, at hacke hjernen ved hjælp af software, der er bygget til at fungere sammen med det elektroencefalografiske (EEG-)headset Emotiv EPOC til 1.800 kroner.

Der udvikles i dag software, der kan modtage input i form af signaler via Bluetooth fra EPOC og andre såkaldte hjerne-computer-grænseflader (brain-computer interfaces, BCI) såsom MindWave fra NeuroSky.

Når udviklere, forskere og spilfirmaer arbejder med den slags, må man gå ud fra, at det også er noget, datakriminelle i det mindste overvejer.

Kan vendes mod brugerne

"Sikkerhedsrisiciene ved at bruge forbrugerorienterede BCI-apparater er aldrig blevet undersøgt og der findes ingen forskning i, hvad skadelig software med adgang til et sådant apparat kan gøre," skriver forskerne i en forskningsartikel, der blev præsenteret i juli ved computerkonferencen USENIX.

"Vi tager her det første skridt i en kortlægning af de sikkerhedsmæssige problemstillinger ved sådanne apparater og demonstrerer, at denne fremspirende teknologi kan blive vendt mod dens brugere og misbrugt til at afsløre private og hemmelige oplysninger."

Forskerne har demonstreret, at den software, de udviklede til at læse signaler fra EPOC, forbedrede chancerne væsentligt for at gætte forsøgsdeltagernes PIN-koder, hvor de boede, hvem de kendte, hvornår de var født og navnet på deres bank.

Anvender sensorer

Apparatet fra Emotiv, der bruges til computerspil og som en slags håndfri tastatur, anvender sensorer rundt om brugerens hoved til at optage hjernens elektriske aktivitet.

Den elektriske spænding i dele af hjernen stiger, når man ser noget, man genkender, så måling af disse udsving gør det muligt at indsamle oplysninger om folk ved blot at vise dem en række billeder.

Forskerne gennemførte deres forsøg på 28 datalogistuderende. I PIN-kode-forsøget valgte hver forsøgsperson et firecifret tal og skulle herefter se på en skærm, hvor tallene 0 til 10 blev vist for hvert ciffer.

Mens forsøgspersonerne fik vist disse tal, målte forskerne den elektriske aktivitet i deres hjerner ved hjælp af EPOC-headsettet.

Sådan kan din hjerne hackes

Samme tilgang blev anvendt i de andre forsøg.

Forsøgspersonerne fik for eksempel vist billeder af hævekort for at afgøre afgøre hvilken bank, de anvender, og billeder af andre mennesker for at afgøre, hvem de kender.

Forskernes chance for at gætte rigtigt steg som regel til mellem 20 og 30 procent fra 10 procent uden disse input.

Der var dog en væsentlig undtagelse i forhold til at gætte, hvilken måned forsøgspersonerne var født. Her steg succesraten til op til 60 procent.

Virker ikke særligt godt

Den generelle pålidelighed af denne teknik er dog ikke høj nok til angreb mod få individer.

"Angrebet virker, men ikke særligt pålideligt," kommenterer Mario Frank fra UC Berkeley.

"Med det udstyr vi anvendte, kan man ikke være sikker på, at man har fundet det rigtige svar."

Kriminelle ville således være nødt til at udvikle malware, der kunne distribueres til så mange ofre som muligt.

Lille andel kan være nok

En sådan taktik bruges da også i dag ved distribution af malware via e-mail, da de kriminelle er klar over, at det kun er en lille andel af modtagerne, der faktisk åbner de vedhæftede skadelige filer.

Denne lille andel er dog nok til at skabe botnet, der består af hundredtusinder af computere.

Der er dog stadig i dag for få brugere af BCI-apparater til at lancere angreb i stor målestok.

Desuden køber brugerne indtil videre softwaren direkte fra producenterne, så det ville også være svært for kriminelle at distribuere malwaren.

Der kan dog opstå en sikkerhedsrisiko i fremtiden, hvis sådanne apparater til måling af hjerneaktivitet bliver en udbredt måde at interagere med computere på, og hvis brugerne kan købe specialiserede apps via app-butikker på nettet, ligesom det er tilfældet med apps til for eksempel Android.

Bør udvikle sikkerhedsmekanismer

For at reducere risikoen bør producenterne af disse apparater omgående begynde at udvikle sikkerhedsmekanismer såsom at begrænse hvilke typer af informationer, softwaren kan modtage fra headsettet, til kun de data applikationen har brug for, anbefaler forskerne.

"En af de ting, man kunne forbedre, er for eksempel at sørge for, at selve apparatet udfører en vis forbehandling og kun outputter de data, der er brug for til det givne formål," foreslår Frank.

Sådanne forholdsregler bør indføres omgående for at forhindre unødvendige risici i fremtiden, bemærker han.

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Højer og Lauritzen ApS
Distributør af pc- og printertilbehør.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Brand din forretning og skab nye leads med Microsoft Dynamics 365 til marketing

Vidste du, at Microsoft Dynamics også byder på stærk funktionalitet til marketingafdelingen? På kun 1 1/2 time inspirerer vi dig til, hvordan du kan bruge Dynamics 365 Marketing til at brande din forretning og skabe nye leads.

17. maj 2021 | Læs mere


Vælg den rigtige infrastruktur og it-arkitektur

Få indblik i, hvordan du kan sikre sammenhæng og overblik i et it-landksab, der konstant ændres. Dette kan blandt andet gøres med de rette strategisk og teknologiske vlag, så effektiviteten, stabiliteten og sikkerheden opretholdes. Den rigtige infrastruktur og it-arkitektur kan uden tvivl hjælpe dig med at skabe overblikket over dit it-landskab.

18. maj 2021 | Læs mere


Digital transformation og innovation: Inspiration til digitale succeshistorier

Kom ind bag facaden hos nogle af Danmarks bedste it-folk, og lær hvordan de arbejder med digital transformation og innovation. Du får muligheden for at høre, hvordan du kan bruge den nye teknologi til at få etableret det mest effektive udviklings- og innovationsmilø.

19. maj 2021 | Læs mere






Premium
Mytrendyphone efter momssag og tvangskonkurs i Norge: ”Det er blevet stillet op som om vi nærmest har snydt”
Interview: I marts blev mobiludstyrsleverandøren Mytrendyphone erklæret konkurs, men stifteren Silvan Popovic mener at moms-afgørelsen, der ledte til konkursen er "hundrede tusind procent" uretfærdig.
Computerworld
Stor krise i den danske it-stjerne David Heinemeiers Hanssons firma: Her er historien om dramaet, der fik en tredjedel af de ansatte i Basecamp til at smække med døren
De ansatte har i hobe forladt David Heinemeier Hanssons amerikanske succes-firma Basecamp efter en intern racisme-debat. Hvordan kunne det gå så galt?
CIO
Har du rost din mellemleder i dag? Snart er de uddøde - og det er et tab
Computerworld mener: Mellemledere lever livet farligt: Topledelsen får konstant ideer med skiftende hold i virkeligheden, og moden går mod flade agile organisationer. Men mellemlederen er en overset hverdagens helt med et kæmpe ansvar. Her er min hyldest til den ofte latterliggjorte mellemleder.
Job & Karriere
Eva Berneke stopper som topchef i KMD og flytter til Paris: Her er KMD's nye topchef
Efter syv år på posten som topchef for KMD forlader Eva Berneke selskabet. Nu flytter hun med familien til Paris, hvor hun vil fortsætte sit bestyrelsesarbejde. KMD har allerede afløser på plads.
White paper
Hvordan ser kundetilfredshed ud i det moderne kontaktcenter?
Det er simpelt: Dine kunder får de svar, som de har brug for, gennem deres fortrukne kanal, med forbløffende hastighed. Gå ikke glip af denne e-bog, hvor vi gennemgår alt hvad du behøver at vide omkring Cisco Webex Contact Center.