Az olcsón megvásárolható, fejre köthető számítógépes perifériák káros hatásúak is lehetnek. Ha ezek a jövőben elterjednek, a hekkerek akár a felhasználók PIN kódjaihoz, vagy más, a memóriában tárolt személyes adataikhoz is hozzáférhetnek.
Még az agyunkban sem lehetnek biztonságban a legszemélyesebb, legtitkosabb adataink. Egyre elterjedtebbé válnak azok a játékok, amiket olcsón megvásárolható EEG eszközökkel, például az Emotiv EPOC headsetjével irányíthatunk. Az agyhullámokat leolvasó eszköz lehetővé teszi, hogy a felhasználó a gondolataival irányítsa az alkalmazást. A kártékony szoftverek fejlesztői ezt felhasználva készíthetnek olyan agyi kémprogramokat, amelyek arra késztetik a felhasználókat, hogy a személyes adataikra gondoljanak. Ha ez megtörténik, a hekkerek ezekhez is hozzáférnek.
Ivan Martinovics, az Oxford Egyetem kutatója, valamint munkatársai nemrég publikálták a témával foglalkozó tanulmányukat. A dokumentum az On the Feasibility of Side-Channel Attacks With Brain-Computer Interfaces (Az agyat és a számítógépet összekötő perifériák támadhatóságáról) címet viseli, a tartalmát pedig a 21st USENIX Security Symposiumon ismertették.
A kutatók számára a P300-as eseményfüggő potenciál (event related potential, ERP) volt a kiindulópont. Ezek az agyhullámok felelnek a döntéshozatalért, és nem a közvetlen fizikai stimuláció, hanem az arra adott reakció váltja ki. A neurológusok úgy vélik, a P300 felelős az ingerek szétválasztásáért és kategorizálásáért is – nem véletlen, hogy az újabb hazugságvizsgáló készülékekkel is figyelhető a működése.
Martinovics és kutatócsoportja huszonnyolc alanyt tesztelt az Emotiv headsettel. Az önkénteseknek bankkártyákat, pénzautomatákat és emberi arcokat ábrázoló képeket mutogattak, miközben a képekhez kapcsolódó kérdéseket tettek föl nekik. A kísérleti alanyok agyhullámait – köztük a P300-at – jelfeldolgozó szoftverekkel alakították képpé. A folyamat során begyűjtött személyes adatok 15-40 százaléka véletlenszerű reakciónak, vagy egyszerűen csak érdektelennek bizonyult.
Martinovics a konferencián elmondta, hogy a jelfeldolgozó szoftverrel vizsgált EEG jelből olyan személyes adatok is kinyerhetők, mint a bankkártyaadatok vagy a PIN kódok. Az adatfolyam egyelőre nagyon zajos, és a jelenlegi eszközöket, például a kísérlethez használt Emotiv headsetet nem az ehhez hasonló kísérletekhez tervezték, de Martinovics szerint már ezekkel is jobb eredményeket értek el, mint a véletlenszerű találgatással.
Ha az EEG eszközök egyre fejlettebbé válnak, és javul a jel minősége, az javíthatja az adatfeldolgozás pontosságát is. Martinovics azt sem tartja kizártnak, hogy a személyes adatokat a jövőben egyre kifinomultabb módszerrel próbálják megszerezni a hekkerek. A kutató szerint a támadók a szükséges agyhullámok kiváltásához szükséges ingert online játékokban vagy videókban is elrejthetik.