Naukowcy z University of Alabama w Birmingham sugerują, że zestawy słuchawkowe wykrywające fale mózgowe, zwane także zestawami słuchawkowymi EEG lub elektroencefalografem, wymagają większego bezpieczeństwa po tym, jak badania ujawnią, że hakerzy mogą odgadnąć hasła użytkowników, monitorując ich fale mózgowe.

Zestawy słuchawkowe EEG są reklamowane jako pozwalające użytkownikom używać tylko swoich mózgów do kontrolowania robotycznych zabawek i gier wideo opracowanych specjalnie do grania za pomocą zestawu EEG. Na rynku jest ich tylko garstka, a ich cena waha się od 150 do 800 USD.

Nitesh Saxena, Ph.D., profesor nadzwyczajny w Wydziale Nauk Komputerowych i Informacyjnych UAB Wyższa Szkoła Sztuk i Nauk UAB student Ajaya Neupane i były student magisterski Md Lutfor Rahman odkrył, że osoba, która przerwała grę wideo i zalogowała się na konto bankowe podczas noszenia zestawu słuchawkowego EEG, była narażona na ryzyko kradzieży haseł lub innych poufnych danych przez złośliwy program.

“Te nowe urządzenia otwierają ogromne możliwości dla zwykłych użytkowników” – powiedział Saxena. “Mogą jednak również podnieść poważne zagrożenia bezpieczeństwa i prywatności, ponieważ firmy pracują nad rozwojem jeszcze bardziej zaawansowanej technologii interfejsu komputer-mózg”.

Saxena i jego zespół korzystali z jednego zestawu słuchawkowego EEG, który jest obecnie dostępny dla klientów online, oraz jednego zestawu słuchawkowego do badań klinicznych wykorzystywanych do badań naukowych, aby pokazać, jak łatwo złośliwe oprogramowanie może biernie podsłuchiwać fale mózgowe użytkownika. Podczas pisania dane wejściowe użytkownika odpowiadają ich wizualnemu przetwarzaniu, a także ruchom ręki, oka i głowy. Wszystkie te ruchy są przechwytywane przez zestawy słuchawkowe EEG. Zespół poprosił 12 osób o wpisanie serii losowo wygenerowanych PIN-ów i haseł do pola tekstowego, tak jakby logowały się do konta online podczas noszenia zestawu słuchawkowego EEG, aby oprogramowanie mogło ćwiczyć się na pisanie na komputerze i odpowiednią falę mózgową .

“W ataku w świecie rzeczywistym haker może ułatwić etap szkolenia wymagany dla najdokładniejszego złośliwego programu, żądając od użytkownika wprowadzenia predefiniowanego zestawu numerów w celu ponownego uruchomienia gry po wstrzymaniu go, aby zrobić przerwę, podobny do sposobu CAPTCHA do weryfikowania użytkowników podczas logowania się na stronach internetowych “- powiedział Saxena.

Zespół odkrył, że po wprowadzeniu przez użytkownika 200 znaków, algorytmy w obrębie złośliwego oprogramowania mogą wykształcić przypuszczenia dotyczące nowych znaków wprowadzonych przez użytkownika poprzez monitorowanie zarejestrowanych danych EEG. Algorytm był w stanie zmniejszyć prawdopodobieństwo, że haker zgadywał czterocyfrowy numeryczny numer PIN od jednego na 10 000 do jednego na 20 i zwiększył prawdopodobieństwo odgadnięcia sześcioliterowego hasła od około 500 000 do około jednej na 500.

EEG jest stosowany w medycynie od ponad pół wieku jako nieinwazyjna metoda rejestrowania aktywności elektrycznej w mózgu. Elektrody są umieszczane na powierzchni skóry głowy w celu wykrycia fal mózgowych. Urządzenie EEG następnie wzmacnia sygnały i zapisuje je w postaci fali na papierze milimetrowym lub komputerze. EEG można łączyć z interfejsem mózg-komputer, aby umożliwić osobie sterowanie urządzeniami zewnętrznymi. Technologia ta była kiedyś bardzo droga i wykorzystywana głównie do badań naukowych, takich jak produkcja aplikacji neuroprostetycznych, aby pomóc niepełnosprawnym pacjentom kontrolować kończyny protetyczne, myśląc o ruchach. Jednak obecnie jest sprzedawany konsumentom w postaci bezprzewodowego zestawu słuchawkowego i staje się popularny w branży gier i rozrywki.

“Biorąc pod uwagę rosnącą popularność zestawów słuchawkowych EEG i różnorodność sposobów ich wykorzystania, nieuniknione jest, że staną się one częścią naszego codziennego życia, w tym podczas korzystania z innych urządzeń” – powiedział Saxena. “Ważne jest, aby przeanalizować potencjalne zagrożenia bezpieczeństwa i prywatności związane z tą pojawiającą się technologią, aby podnieść świadomość użytkowników na temat zagrożeń i opracować możliwe rozwiązania szkodliwych ataków”.

Potencjalnym rozwiązaniem zaproponowanym przez Saxenę i jego zespół jest wprowadzenie szumu za każdym razem, gdy użytkownik wpisze hasło lub kod PIN podczas noszenia zestawu słuchawkowego EEG.