Уязвимость интерфейса мозг-компьютер

На конференции Usenix Security исследователи продемонстрировали ^[1] потенциальную уязвимость интерфейсов мозг-компьютер. Вкратце, она сводится к возможности определения, распознаёт ли пользователь демонстрируемое ему изображение, или же оно ему незнакомо.

Нейрокомпьютерный интерфейс как и любой другой интерфейс ввода данных состоит из двух компонент: устройства ввода и обеспечивающего его работу программного обеспечения. В данном случае роль первого исполняет надеваемый на голову электроэнцефалограф с группой датчиков на черепе пользователя, а поступающие от них данные обрабатывает драйвер на ПК. Как правило, стоимость подобных интерфейсов позволяла находить применения интерфейсам мозг-компьютер лишь в медицине, но в последнее время о себе заявили устройства Emotiv и Neurosky, стоимость которых была значительно ниже.

Оба из упомянутых коммерчески доступных массовому пользователю интерфейсов мозг-компьютер имеют API, позволяющие сторонним разработчикам создавать свои приложения, использующие возможности одностороннего обмена между мозгом ^[2] и компьютером. Исследователи безопасности из университетов Оксфорда и Женевы, Калифорнийского университета в Беркли так и поступили. Их программа была создана с целью выяснения приватной информации пользователя: местоположения его дома, ПИН-кода его банковской карточки, используемого банка, даты рождения и т. п. Затем исследователи прогнали свою программу на 28 испытуемых, не подозревавших, что под угрозу ставится их частная жизнь, и в 10—40% случаев попытки выяснить важные детали из жизни подопытных были успешными.

Для извлечения нужной информации был использовано то, что широко известно как реакция P300 ^[3] — специфический образец мозговых волн, который проявляется при распознавании мозгом ^[2] чего-либо значимого или нужного для текущей задачи — лица человека, слесарного или любого другого инструмента. По сути, программа демонстрировала различные изображения географических карт, банков и ПИН-кодов кредиток, в то же время шла запись реакции мозга ^[2] испытуемых, отмечая каждый раз, когда реакция P300 была положительной. Затем с неплохой точностью можно было определить используемый банк испытуемого, где он живёт и так далее.

Сценарий похищения приватных данных в реальном мире может представлять из себя видеоигру с применением интерфейса мозг-компьютер, специально созданную злоумышленниками для извлечения важной информации, или же хакеры могут использовать методы социальной инженерии. Подобный метод с улучшением качества нейроинтерфейсов будет показывать лишь улучшение эффективности, а падение стоимости устройств и их распространение создадут возможность массового использования реакции P300 в преступных целях.

Исследовательская работа (PDF) ^[4]

Автор: FakeFactFelis

Источник ^[5]