Các nhà nghiên cứu tại Trường Đại học Alabama, Birmingham (UBA) đã cảnh báo rằng các thiết bị nghe có cảm biến sóng não (brainwave-sensing headsets), hay còn được gọi là bộ tai nghe gắn máy đo điện não đồ (EEG - electroencephalograph headsets) cần phải được bảo mật tốt hơn ngay sau khi một nghiên cứu mới đã khám phá ra rằng các hacker có thể “dự đoán” được mật khẩu của người sử dụng bằng cách kiểm soát các sóng não của họ.
Chiếc tai nghe EEG được quảng cáo là nó có thể cho phép người dùng chỉ cần dùng bộ não của họ điều khiển các đồ chơi thông minh và các game video được phát triển đặc biệt tương thích với chiếc tai nghe này. Thiết bị này rất hiếm trên thị trường, và giá của nó giao động từ 150 đến 800 đôla.
PGS. TS Khoa Khoa học Thông tin và Máy tính, Nitesh Saxena, Trường Đại học UAB, cùng với Nghiên cứu viên Ajaya Neupane, và Md Lutfor Rahman, cựu sinh viên của trường, đã phát hiện thấy khi một người nào đó tạm dừng trò chơi game video họ đang chơi và đăng nhập vào một tài khoản ngân hàng nào đó trong khi vẫn đang đeo thiết bị tai nghe EEG sẽ có nguy cơ bị mất mật khẩu hoặc các dữ liệu thông tin cá nhân nhạy cảm khác bằng một chương trình phần mềm rất độc.
“Những thiết bị mới nổi này đã mở ra nhiều cơ hội cho người sử dụng thường xuyên. Tuy nhiên, chúng cũng có thể gây ra những mối đe dọa về bảo mật và riêng tư nhất là khi các công ty công nghệ đang ngày càng mở rộng phát triển các công nghệ giao diện não tiên tiến”. Saxena nói.
Trong nghiên cứu này, Saxena và nhóm của ông đã sử dụng một bộ tai nghe EEG sẵn có cho người tiêu dùng trực tuyến và một bộ tai nghe dùng trong lâm sàng (clinical-grade headset) để chứng minh làm thế nào một chương trình phần mềm độc hại có thể dễ dàng “nghe trộm” được sóng não của người dùng. Quá trình gõ bàn phím, nhập dữ liệu đầu vào của người sử dụng tương ứng với quá trình xử lý hình ảnh của họ, cũng như các chuyển động tay, mắt và cơ tai. Tất cả các chuyển động này đều bị bộ tai nghe EEG ghi lại. Nhóm nghiên cứu đã yêu cầu 12 người tham gia nhập một loạt các mã PIN và mật khẩu được tạo ngẫu nhiên vào hộp văn bản như thể họ đang đăng nhập vào tài khoản trực tuyến trong khi đeo một tai nghe EEG, để cho phần mềm trong thiết bị này có thể tự nó “học” được cách gõ của người dùng và sóng não tương ứng.
“Trong một cuộc tấn công ở thế giới thực, một hacker có thể dễ dàng yêu cầu người dùng đăng nhập một bộ số đã được xác định tước để khởi động lại chương trình trò chơi sau khi tạm dừng nó để nghỉ ngơi. Điều này tương tự như cách CAPTCHA đã sử dụng để xác minh người dùng khi đăng nhập vào các trang web”, Saxena cho biết.
Nhóm nghiên cứu phát hiện ra rằng, sau khi người dùng nhập 200 ký tự, các thuật toán trong chương trình phần mềm độc này có thể đoán được các ký tự mới mà người dùng đó gõ tiếp bằng cách theo dõi các dữ liệu EEG đã được ghi lại. Thuật toán này có thể làm tăng cơ hội đoán chính xác mật khẩu người dùng.
EEG đã được sử dụng trong lĩnh vực y tế như một phương pháp không xâm lấn để ghi lại hoạt động điện trong não trong hơn nửa thế kỷ qua. Các điện cực được đặt trên bề mặt da đầu để phát hiện sóng não. Thiết bị EEG sau đó khuếch đại tín hiệu và ghi lại chúng thành một hàng sóng trên giấy đồ thị hoặc máy tính. EEG có thể được kết hợp với giao diện não-máy tính để cho phép một ai đó có thể giám sát các thiết bị bên ngoài.
Công nghệ này trước đây rất đắt và thường sử dụng chủ yếu cho nghiên cứu khoa học, giống như các sản phẩm ứng dụng thần kinh học để giúp bệnh nhân khuyết tật kiểm soát, điều khiển bộ phận chân tay giả. Tuy nhiên, hiện nay nó đang được tiếp thị đến người tiêu dùng dưới hình thức thiết bị tai nghe không dây và đang trở nên phổ biến trong ngành công nghiệp giải trí và chơi game.
“Do sự phổ biến ngày càng tăng của thiết bị tai nghe EEG và hàng loạt phương thức sử dụng tai nghe EEG, và trong tương lai chúng sẽ trở thành một phần trong cuộc sống hàng ngày của chúng ta, kể cả khi sử dụng các thiết bị khác”, Saxena nói. “Tuy nhiên, cần phải phân tích các nguy cơ an ninh và bảo mật có liên quan đến công nghệ mới nổi này để nâng cao nhận thức của người về những rủi ro và phát triển các giải pháp khả thi đối phó lại các cuộc tấn công nguy hiểm”.
Một giải pháp tiềm năng được đề xuất bởi Saxena và nhóm của ông là chèn tiếng ồn bất cứ lúc nào người dùng đang nhập mật khẩu hoặc mã PIN trong khi đang sử dụng tai nghe EEG.