WiKI-Eve – Tuş vuruşlarını gizlice dinleyerek Wi-Fi şifrelerini çalmak

Mobil cihazlar ve uygulamalar, kullanıcı kimliğini belirleme sürecinde giderek daha büyük bir rol oynamaktadır.

Ancak kimlik hırsızlığına benzer şekilde şifre hırsızlığı, yan kanalları kullanarak çeşitli dinleme saldırılarını davet etmektedir, özellikle yan kanallar (akustik, elektromanyetik, vb.) kullanılarak yapılan gizli dolaylı saldırılar.

Yan kanalları kullanarak yapılan bu dolaylı saldırılar, hedef ekranını görmeye gerek olmadan şifreleri gizlice çıkarma riskini taşır.

Aşağıdaki siber güvenlik araştırmacıları, klavye vuruşlarını dinleyerek Wi-Fi şifrelerini çalmak için yeni bir yöntemi ortaya çıkardı ve buna “WiKI-Eve” adını verdiler:

  • Jingyang Hu (Hunan Üniversitesi, Çin)
  • Hongbo Wang (Nanyang Teknoloji Üniversitesi, Singapur)
  • Tianyue Zheng (Nanyang Teknoloji Üniversitesi, Singapur)
  • Jingzhi Hu (Nanyang Teknoloji Üniversitesi, Singapur)
  • Zhe Chen (Fudan Üniversitesi, Çin)
  • Hongbo Jiang (Hunan Üniversitesi, Çin)
  • Jun Luo (Nanyang Teknoloji Üniversitesi, Singapur)

Wi-Fi Parolalarını Dinleyerek Çalma Yan kanallar arasında benzersiz olan Wi-Fi CSI, şifre hırsızlığı için klavye vuruşlarını tahmin edebilir ve bu, veri eksikliği zorluklarına neden olur. Bu nedenle araştırmacılar, sayısal şifreleri BFI varyasyonları aracılığıyla çalmak için “WiKI-Eve” adlı bir yöntem önerdiler. Siber güvenlik analistleri, donanım hacklemeyi önlemek için Wi-Fi üzerinde BFI kullanırken, WiKI-Eve’de tuş vuruşunu tahmin etmek için derin öğrenme ve karşıtlıklı eğitimi kullandılar, böylece sınırlı verilerle pratiklik sağladılar ve veri eksikliği sorununu ele aldılar.

İki CSI tabanlı KI yöntemi bulunmaktadır ve bunlar aşağıda belirtilmiştir:

  • İçbant KI (IKI)
  • Dışbant KI (OKI) Siber güvenlik analistleri, deneylerde Android sınırlamaları nedeniyle bir dizüstü bilgisayar (Intel AX210 Wi-Fi NIC ile Acer TravelMate) kullandılar. Wireshark’ta izleme modunda BFIs’leri yakaladılar, bunları Matlab ve Python ile analiz ettiler ve verilerini ve ön işleme kodlarını çevrimiçi olarak paylaştılar. Siber güvenlik analistleri, doğru tuş vuruşlarını ölçen tuş vuruşu sınıflandırma doğruluğunu ve en iyi-N şifre tahmin doğruluğunu kullanarak değerlendirdiler. Tuş vuruşu doğruluğu doğru tuş vuruşlarını ölçerken, en iyi-N doğruluğu, bir aday şifrenin en iyi-N olasılık içinde gerçek şifreyle eşleşip eşleşmediğini kontrol eder.

Uzmanlar önce WiKI-Eve’un temel yapı taşlarını mikro-benchmarklarla gösterdiler, ardından genel performansı ve pratik faktörleri değerlendirdiler. Gerçek dünya deneyleri, WiKI-Eve’un WeChat Pay şifrelerini çaldığını ve bunun QWERTY klavyelerine nasıl uygulandığını göstermektedir.

WiKI-Eve’un pratikliğini göstermek için, Eve’un Bob’un (kurban) iPhone 13 kullanarak bir işlem yaparken bir konferans odasından 3 metre uzaklıktan WeChat Pay şifresini gizlice çaldığı bir gerçek dünya deneyi gerçekleştirildi.

Veri trafiğini şifrelemek, WiKI-Eve’a karşı doğrudan bir savunma sağlar, ancak yüksek kullanıcı hareketliliğine sahip sistemleri karmaşıklaştırabilir. Klavye rastgeleleştirme, dolaylı bir savunma sağlar ve karmaşıklığı şifre girişi için kas hafızasına güvenenleri zorlaştırabilir.

WiKI-Eve, hackleme veya özel donanım gerektirmeyen ve geniş bir uygulanabilirlik sunan çok yönlü bir Wi-Fi KI saldırısıdır. Karşıtlıklı öğrenme, görünmeyen alanlara genelleştirilebilir.

About The Author

Reply