Bahaya! Hackers Bisa Mencuri Password Pengguna dari Gelombang Otak

Periset di University of Alabama di Birmingham menyarankan bahwa headset penginderaan gelombang otak, yang juga dikenal sebagai headset EEG atau electroencephalograph, memerlukan keamanan yang lebih baik setelah sebuah studi mengungkapkan bahwa para hacker dapat menebak password pengguna dengan memantau gelombang otak mereka.

Headset EEG diiklankan karena memungkinkan pengguna hanya menggunakan otak mereka untuk mengendalikan mainan robot dan permainan video yang dikembangkan secara khusus untuk dimainkan dengan headset EEG. Hanya ada segelintir di pasar, dan harganya berkisar antara 2 juta sampai 10,7 juta.

Nitesh Saxena, Ph.D., associate professor di UAB College of Arts and Sciences Departemen Ilmu Komputer dan Informasi, Ph.D. siswa Ajaya Neupane dan dan mantan mahasiswa master Md Lutfor Rahman, menemukan bahwa seseorang yang menghentikan video game dan masuk ke rekening bank sambil mengenakan headset EEG berisiko memiliki kata sandinya atau data sensitif lainnya yang dicuri oleh program perangkat lunak berbahaya.

"Perangkat yang muncul ini membuka peluang besar bagi pengguna sehari-hari," kata Saxena. "Namun, mereka juga dapat meningkatkan ancaman keamanan dan privasi yang signifikan saat perusahaan bekerja untuk mengembangkan teknologi antarmuka otak-komputer yang lebih maju."

Saxena dan timnya menggunakan satu headset EEG yang saat ini tersedia untuk konsumen secara online dan satu headset tingkat klinis yang digunakan untuk penelitian ilmiah untuk menunjukkan betapa mudahnya program perangkat lunak berbahaya dapat menguping secara pasif pada gelombang otak pengguna. Saat mengetik, masukan pengguna sesuai dengan pemrosesan visual, serta gerak tangan, mata dan gerakan otot kepala. Semua gerakan ini ditangkap oleh headset EEG. Tim tersebut meminta 12 orang untuk mengetikkan serangkaian PIN dan kata kunci yang dibuat secara acak ke dalam kotak teks seolah-olah mereka masuk ke akun online saat mengenakan headset EEG, agar perangkat lunak dapat melatih dirinya pada pengetikkan oleh pengguna dan gelombang otak yang sesuai. .

"Dalam serangan dunia nyata, seorang hacker dapat memfasilitasi langkah pelatihan yang diperlukan agar program jahat menjadi sangat akurat, dengan meminta pengguna memasukkan sejumlah nomor yang telah ditetapkan agar dapat memulai kembali permainan setelah menghentikannya untuk beristirahat, mirip dengan cara CAPTCHA digunakan untuk memverifikasi pengguna saat masuk ke situs web, "kata Saxena.

Tim menemukan bahwa, setelah pengguna memasukkan 200 karakter, algoritma dalam program perangkat lunak berbahaya dapat membuat dugaan terdidik tentang karakter baru yang dimasukkan pengguna dengan memantau data EEG yang direkam. Algoritma ini mampu mempersingkat kemungkinan menebak seorang hacker dengan PIN angka empat digit dari angka 1 per 10.000 menjadi 1 per 20 dan meningkatkan kemungkinan menebak password enam huruf dari sekitar 1 per 500.000 menjadi kira-kira 1 per 500.

 

EEG telah digunakan di bidang medis selama lebih dari setengah abad sebagai metode non-invasif untuk merekam aktivitas listrik di otak. Elektroda ditempatkan di permukaan kulit kepala untuk mendeteksi gelombang otak. Mesin EEG kemudian menguatkan sinyal dan merekamnya dalam pola gelombang pada kertas grafik atau komputer. EEG dapat dikombinasikan dengan antarmuka otak-komputer untuk memungkinkan seseorang mengendalikan perangkat eksternal. Teknologi ini pernah sangat mahal dan digunakan terutama untuk penelitian ilmiah, seperti produksi aplikasi neuroprostik untuk membantu pasien penyandang cacat mengendalikan kaki palsu dengan memikirkan gerakan tersebut. Namun, sekarang dipasarkan ke konsumen dalam bentuk headset nirkabel dan menjadi populer di industri game dan hiburan.

"Dengan semakin populernya headset EEG dan beragam cara penggunaannya, tidak dapat dipungkiri bahwa mereka akan menjadi bagian dari kehidupan kita sehari-hari, termasuk saat menggunakan perangkat lain," kata Saxena. "Penting untuk menganalisis potensi risiko keamanan dan privasi yang terkait dengan teknologi baru ini untuk meningkatkan kesadaran pengguna akan risiko dan mengembangkan solusi yang layak untuk serangan berbahaya."

Salah satu solusi potensial yang diajukan oleh Saxena dan timnya adalah penyisipan suara kapan pun pengguna mengetikkan kata sandi atau PIN saat memakai headset EEG.