보안 연구원들은 맥북 프로(MacBook Pro) 키보드 오디오가 92%에서 95%의 정확도로 사용자가 입력하는 내용을 알아낼 수 있다는 사실을 입증했습니다.

연구원들은 이 공격이 Zoom 통화와 같은 것들에 대한 실용적인 공격이라고 말합니다.

이 공격은 키보드의 다른 키에서 나는 다른 소리에 의존합니다. 놀랍게도 이 공격은 시끄러운 기계식 키보드가 아닌 맥북 프로 키보드에서 시연되었습니다.

블리핑 컴퓨터는 공격자(Attacker: 컴퓨터 및 컴퓨터 네트워크에서 공격은 자산을 파괴, 노출, 변경, 사용 중지, 도용 또는 무단 액세스나 무단 사용 등의 모든 시도. 공격자는 개인 또는 이러한 악의적인 활동을 수행하는 조직)가 먼저 특정 키보드에 맞게 데이터를 보정해야 한다고 말하지만, 참가자가 그룹 채팅에 메시지를 입력하는 화상 통화에서는 이것이 완벽하게 실용적일 수 있다고 설명합니다.

"공격의 첫 번째 단계는 공격 대상의 키보드에서 키 입력을 기록하는 것인데, 이 데이터는 예측 알고리즘을 학습하는 데 필요하기 때문입니다. 이는 근처에 있는 마이크 또는 마이크에 액세스하는 멀웨어에 감염되었을 수 있는 표적의 휴대폰을 통해 이루어질 수 있습니다.

또는 악성 미팅 참가자가 타겟이 입력한 메시지와 녹음된 사운드 사이의 상관관계를 파악하는 Zoom 통화를 통해 키 입력을 녹음할 수도 있습니다.

연구원들은 최신 맥북 프로에서 36개의 키를 각각 25번씩 누르고 각 키를 누를 때마다 발생하는 소리를 녹음하여 훈련 데이터를 수집했습니다."

이 기술은 사람들이 화상 통화와 Slack 채팅방 같은 것을 결합할 때도 작동할 수 있습니다.

공격자가 스마트폰 마이크를 탈취하여 로컬에서 오디오를 녹음할 수 있는 멀웨어 공격의 경우 정확도가 95%에 달했습니다. Zoom을 통해 키보드를 녹음할 때는 정확도가 93%로 현저히 떨어졌습니다. Skype 오디오는 정확도가 91.7%로 약간 더 떨어졌지만 여전히 완벽하게 사용 가능한 것으로 나타났습니다.

연구원들은 실시간 통화 중에 비밀번호나 기타 민감한 데이터를 입력하는 경우 타이핑 스타일을 변경할 것을 제안하지만, 대부분의 공격에 대한 더 간단한 해결책은 말을 하지 않을 때는 마이크를 음소거하고 통화 중에는 민감한 내용을 입력하지 않는 것일 수 있습니다.

이 방법은 멀웨어 공격에는 효과가 없지만, 누군가가 아이폰 마이크를 탈취했다면 맥북 프로 키보드 오디오를 듣는 것보다 더 큰 문제가 발생할 수 있습니다.