Hackare kan gissa en användares lösenord genom att följa deras tankar, enligt forskare inbegripet dem som är av Indiskt ursprung som tyder på att hjärnvågorna-avkänning headset behöver bättre säkerhet.
Elektroencefalograf (EEG) headset möjligt för användare att styra robotar leksaker och tv-spel med sinnet.
Forskare vid University of Alabama at Birmingham i USA visade att en person som stannade till för ett tv-spel och loggat in på ett bankkonto iklädd en EEG headset var i riskzonen för att ha sina lösenord eller andra känsliga uppgifter stulits av en skadlig programvara program.
“Dessa nya enheter öppna enorma möjligheter för dagliga användare,” sade Nitesh Saxena, associate professor från University of Alabama.
“Men de kan också höja betydande säkerhet och integritet hot som företag som jobbar för att utveckla en ännu mer avancerad hjärna-dator-gränssnitt teknik,” sade Saxena.
Laget, inklusive Doktorand Ajaya Neupane, används en EEG-headset för närvarande tillgängliga för konsumenterna på nätet och en klinisk kvalitet headset som används för vetenskaplig forskning för att påvisa hur enkelt ett skadligt program som kan passivt tjuvlyssna på användarens hjärnvågor.
När du skriver en användare ingångar överensstämmer med deras visuell bearbetning, liksom hand, öga och huvud muskelrörelser. Alla dessa rörelser är tagna av EEG-headset.
Teamet frågade 12 personer för att skriva en serie av slumpmässigt genererade koder och lösenord i en textruta som om de var att logga in på ett online-konto iklädd en EEG-headset, för att programvaran för att utbilda sig på användarens skriva och motsvarande snilleblixt.
“I en verklig attack, en hacker skulle kunna underlätta utbildning steg som krävs för att de skadliga program till att vara mest korrekt, genom att begära att användaren ange en fördefinierad uppsättning siffror för att starta om spelet när du har pausat den för att ta en paus, på samma sätt som CAPTCHA används för att kontrollera användare vid inloggning på webbplatser,” Saxena sagt.
Teamet fann att, efter en användare in 200 tecken, algoritmer inom skadliga program som kan göra kvalificerade gissningar om nya tecken användaren in genom övervakning av EEG-data som spelas in.
Den algoritm som kunde förkorta oddsen för en hacker att gissa en fyra-siffrig numerisk PIN-kod från en på 10 000 dollar till en på 20 och en ökad chans att gissa en sex-brev lösenord från ca 500 000 till cirka en på 500.
“Med tanke på den ökande populariteten av EEG-headset och de olika sätt på vilka de kan användas, är det oundvikligt att de kommer att bli en del av vårt dagliga liv, inklusive när du använder andra enheter,” Saxena sagt.
“Det är viktigt att analysera de möjliga säkerhet och integritet risker som är förknippade med denna framväxande teknik för att öka användarnas medvetenhet om riskerna och utveckla hållbara lösningar för angrepp,” sade han.