Per KI: Forscher lesen Passworteingaben an VR-Handbewegungen ab
Forscher haben eine künstliche Intelligenz entwickelt, die an den Handbewegungen eines Avatars in der virtuellen Realität (VR) sensible Informationen wie vom Benutzer eingegebene Passwörter ablesen kann. Wie aus einem Bericht von New Scientist(öffnet im neuen Fenster) hervorgeht, werden dafür lediglich subtile Bewegungen der Hand des virtuellen Abbildes einer Zielperson beobachtet, während diese an einem VR-Meeting teilnimmt und dabei auf einer physischen Tastatur tippt.
Getestet habe das Forscherteam von der University of Chicago seine KI in Meta Horizon Workrooms(öffnet im neuen Fenster) , einer VR-Arbeitsumgebung, die Nutzer dazu einlädt, sich in einem virtuellen Büro oder Konferenzraum mit Kollegen zu treffen und dort an gemeinsamen Aufgaben zu arbeiten. Trainiert wurde die KI angeblich im Rahmen 10- bis 15-minütiger Sitzungen, woraufhin die meisten Tastenanschläge der Zielpersonen rekonstruiert werden konnten.
Trefferquote liegt im Bestfall bei 98 Prozent
Laut New Scientist ist es der KI der Forscher gelungen, bei 13 von 15 Personen, die an dem Experiment teilnahmen, zwischen 86 und 98 Prozent der getippten Tasten korrekt zu erkennen. Bei den übrigen beiden Teilnehmern seien hingegen zu viele Störsignale in den Bewegungsdaten der Avatare aufgetaucht, so dass es für die KI schwieriger gewesen sei, die Tastenanschläge zu entschlüsseln.
Mit der genannten Trefferquote dürften sich gewiss die wenigsten Passwörter vollständig korrekt ermitteln lassen. In vielen Fällen ist das aber auch gar nicht nötig - beispielsweise dann, wenn ein Passwort ganz oder teilweise aus bekannten Wörtern besteht. Ein Buchstabendreher in der Ausgabe der KI lässt sich von einem Angreifer in einem solchen Fall schnell erkennen und beheben.
Kryptische Passwörter verringern das Risiko
Insofern stellt auch eine nur teilweise korrekte Erkennung der Eingaben durchaus ein nicht zu unterschätzendes Sicherheitsrisiko dar. In Bezug auf Passwörter lässt sich das Risiko aber beispielsweise dadurch verringern, dass Anwender ausschließlich auf kryptische Zeichenfolgen zurückgreifen. Das erschwert es einem Angreifer enorm, einzelne Fehler selbst zu erkennen und zu korrigieren.
Weitere Details zu ihren Untersuchungen haben die Forscher in einem Paper veröffentlicht(öffnet im neuen Fenster) . Laut New Scientist arbeitet das Team wohl schon daran, Schutzmechanismen gegen Angriffe dieser Art zu erforschen, beispielsweise indem es den VR-Handbewegungsdaten gezielt Störsignale hinzufügt.
Auch während laufender Videokonferenzen sind Passworteingaben nicht ganz ungefährlich. Zuletzt gelang es einer anderen Forschergruppe , Passwörter anhand von Tippgeräuschen in Anwendungen wie Zoom oder Skype zu rekonstruieren. Auch in diesem Fall kam KI zum Einsatz.