利用脑电波,居然可以窃取个人密码?对于这一问题,最近美国亚拉巴马大学伯明翰分校的科学家们给出了肯定的答案。
他们通过一项研究发现,脑电图描记器(EEG)头戴设备,即记录脑活动的一组电极可以被黑客控制。通过观察使用者上网时的脑波,黑客可以获取神经模式,成功猜出使用者的密码。
此项研究一经发表,就引起了社会公众的广泛关注。他们担心,一旦被黑客控制脑电波,个人的财产、信用等方面将受到侵犯。
用脑电波窃取密码“不划算”
研究人员首先让参与研究的12名受试者佩戴EEG设备,按要求在一个文本框中输入一系列随机的PIN码和密码,模拟登录行为。然后研究人员对受试者打字时对应的脑电波发起恶意程序攻击。
他们发现,当用户输入大约200个字符之后,该恶意程序就可以根据受试者的脑电波进行更智能的猜测,猜对四位数PIN码的概率从1/10000提升到1/20,而猜对六位字母密码的概率从1/500000提升到1/150。
而目前,大部分硬件的密码设置规则一般都默认为四位PIN码和六位密码,如果脑电波被恶意监测,那么密码很容易被黑客猜出。
据此研究人员给出建议,每当用户在输入PIN码或者密码的时候,可以通过插入噪音来淹没脑电波,从而提高信息安全性。
在与技术团队研读该论文并进行分析后,多年专注脑电波研究、并创办回车科技从事相关硬件研发的易昊翔在接受《中国科学报》记者采访时表示,这种情况的确有可能发生。“多年前,也有实验室用专业设备进行过类似验证。”
但他同时也强调说,首先需要明晰的一点是窃取脑电波并非大家想象中的“想什么,设备就能精确读取到什么”。“其原理是利用我们在想密码以及打字时需要控制眼睛、手部肌肉时,不同脑区的活跃程度不同,通过设备采集脑区的活跃程度以及结合人工智能学习算法,从而降低破解密码的难度。”
而这样的方法目前对于黑客来看似乎并不“划算”。“非实验条件下还是挺难实现的,黑客通过传统的监测键盘输入等方法会比利用脑波窃取密码要简单得多。”
此外,要成功窃取密码,对于EEG设备的类型也有要求。“本实验所使用的EEG设备是美国的Emotiv,是目前商用领域的代表设备之一。它是一款多电极的脑电采集设备,主要利用运动想象进行多维度的脑电控制。”
易昊翔解释说:“不是所有的脑电采集设备都可以,实验的原理需要监测多个脑区的活动,Emotiv有十几个电极。但目前绝大部分成熟的商用脑电设备都是单电极的,无法监测多个脑区的活动。消费者完全可以放心使用。”
当心脑电波被恶意监测
那么,公众应该如何预防脑电波被恶意监测的问题呢?
对此,易昊翔给出两点建议,从开发者的角度来看,可以通过技术手段来加以规避。如同亚拉巴马大学研究团队给出的建议一样,在脑电波中加入噪声信号。“开发者需要提高保护用户数据隐私的意识。”
从用户角度来看,则需要对可能发生的恶意攻击情况提高警惕。易昊翔提示说,前文所说的窃取密码方法需要让用户多次输入密码,“黑客可能采用恶意程序使账户不断下线,用户需要培养隐私泄露的风险意识,遇到类似异常情况时候要有足够的警觉性”。
利用脑电波除了窃取密码,还可以作为身份识别,即所谓的“脑纹”。
美国纽约宾厄姆顿大学的研究人员记录了50名志愿者的大脑活动,参与者浏览经过筛选以引起独有反应的500幅图片,包括一片比萨、演员安妮·海瑟薇等。研究人员在参与者观看图片时扫描他们的大脑绘制“脑纹”,识别准确率高达百分之百。
与指纹不同,脑纹一旦被窃取可迅速置换,并且可以评估登录者的精神状态,比如一位疲劳的飞行员在刷“脑纹”时可能就会被直接拒绝。此外,公安人员可以利用犯罪分子对于某些图片的特殊脑电波信号,用于反恐及刑侦领域等。
此外,脑电波还被应用于游戏、生活等各个方面。
以回车科技推出的“易休智能小睡眼罩”为例,先是通过监测个体对不同放松音乐的放松情况反馈,结合人工智能技术不断学习,从上千首曲库中为个人定制挑选出最适合放松入睡的音乐。之后当脑电波监测到用户睡着后,音乐音量缓慢降低,并播放轻微的粉红助眠噪声,营造良好的睡眠环境。当设备监测到用户快进入深睡眠状态时,会用轻柔音乐将其唤醒,防止进入深睡眠后醒来出现睡眠迟钝的现象,进而达到提供高效小睡的目的。
脑机接口成热点
更值得关注的是,利用脑电波的特性,科学家们将大脑与计算机结合,即脑机接口解决特殊患者的需求。
截至目前,关于脑机接口最为著名的案例便是2014年巴西世界杯上28岁截瘫青年朱利亚诺·平托身穿外骨骼开球。巴西籍神经生物学家、美国杜克大学神经中心主任米格尔·尼科莱利斯是该研究的主要领导者,他在近期造访中国,并亲自解释了该外骨骼的工作原理。
朱利亚诺·平托虽然失去了运动能力,但大脑仍可以正常工作。他大脑发出的行动信号,经电极采集后传输到计算机装置中,大脑信号就会被识别并转化成数字化行动指令。在收到指令后,外骨骼就如同生物意义上的四肢一样,做出动作。
在该项研究中,米格尔采用的是植入式电极,需要将电极植入到使用者的颅内。相对于非植入式设备,该方式采集的信号质量好。但却需要手术,还可能随着时间推移出现信号弱化的问题。清华大学医学院教授洪波指出:“植入的电极会被神经包裹,从而降低信道效率。”
出于以上原因,在医用领域之外,特别是在商用游戏领域中,非植入式脑电采集设备更受青睐。目前监控脑电波的设备一般都采用脑电图(EEG)设备的形式,用于放大并记录头皮处由大脑产生的微弱生物电信号。
“其特点是采集相对简单,电极无须植入,但信号质量相对于植入式脑电采集差。”易昊翔表示,脑电波如果能正确规范地使用,带给人类的是福,而一旦被黑客窃取作为他用,便成为了祸。