На конференции Usenix Security исследователи продемонстрировали потенциальную уязвимость интерфейсов мозг-компьютер. Вкратце, она сводится к возможности определения, распознаёт ли пользователь демонстрируемое ему изображение, или же оно ему незнакомо.
Нейрокомпьютерный интерфейс как и любой другой интерфейс ввода данных состоит из двух компонент: устройства ввода и обеспечивающего его работу программного обеспечения. В данном случае роль первого исполняет надеваемый на голову электроэнцефалограф с группой датчиков на черепе пользователя, а поступающие от них данные обрабатывает драйвер на ПК. Как правило, стоимость подобных интерфейсов позволяла находить применения интерфейсам мозг-компьютер лишь в медицине, но в последнее время о себе заявили устройства Emotiv и Neurosky, стоимость которых была значительно ниже.
Оба из упомянутых коммерчески доступных массовому пользователю интерфейсов мозг-компьютер имеют API, позволяющие сторонним разработчикам создавать свои приложения, использующие возможности одностороннего обмена между и компьютером. Исследователи безопасности из университетов Оксфорда и Женевы, Калифорнийского университета в Беркли так и поступили. Их программа была создана с целью выяснения приватной информации пользователя: местоположения его дома, ПИН-кода его банковской карточки, используемого банка, даты рождения и т. п. Затем исследователи прогнали свою программу на 28 испытуемых, не подозревавших, что под угрозу ставится их частная жизнь, и в 10—40% случаев попытки выяснить важные детали из жизни подопытных были успешными.
Для извлечения нужной информации был использовано то, что широко известно как реакция P300 — специфический образец мозговых волн, который проявляется при распознавании чего-либо значимого или нужного для текущей задачи — лица человека, слесарного или любого другого инструмента. По сути, программа демонстрировала различные изображения географических карт, банков и ПИН-кодов кредиток, в то же время шла запись реакции испытуемых, отмечая каждый раз, когда реакция P300 была положительной. Затем с неплохой точностью можно было определить используемый банк испытуемого, где он живёт и так далее.
Сценарий похищения приватных данных в реальном мире может представлять из себя видеоигру с применением интерфейса мозг-компьютер, специально созданную злоумышленниками для извлечения важной информации, или же хакеры могут использовать методы социальной инженерии. Подобный метод с улучшением качества нейроинтерфейсов будет показывать лишь улучшение эффективности, а падение стоимости устройств и их распространение создадут возможность массового использования реакции P300 в преступных целях.
Исследовательская работа (PDF)
Автор: FakeFactFelis
