دراسة تحذر من سرقة كلمات المرور بالتنصت على «كهربيــة المخ»

حذرت دراسة علمية جديدة الذين يرتدون سماعات الرأس أثناء ممارسة الألعاب الإلكترونية أو أي نشاط آخر مرتبط بالحاسب وتقنية المعلومات والتجوال على الإنترنت من أن بعض الأنواع المتقدمة من هذه السماعات تستطيع التنصت على النشاط الكهربي للقشرة الخارجية للمخ، وتحليل هذا النشاط لتتعلم أنماطه المختلفة أثناء القيام بأفعال بعينها، مثل كتابة كلمة مرور أو الدخول إلى موقع أو حتى تسجيل الحالة العاطفية والنفسية، حيث إنه بناء على هذا التعلم تستطيع بعد فترة قليلة التوصل إلى عدد محدود من التخمينات الخاصة بكلمات المرور والبيانات الحساسة الأخرى كالحسابات البنكية، الأمر الذي يضع المستخدم أمام خطر وتهديد يتعلق بأمن المعلومات واختراق الخصوصية.

برمجيات خبيثة تتعلم تخمين كلمات المرور بتحليل النشاط الكهربي للمخ. تعلم نشاط المخ يخفض احتمالات التخمين المطلوبة من 10 آلاف إلى 20. طريقة أخرى لم يكن فريق جامعة آلاباما الأميركية الوحيد الذي أجرى بحوثاً حول إمكانية التنصت بسماعات الرأس، فقد عرض باحثون في جامعة واشنطن طريقة أخرى لاستخلاص البيانات الخاصة باستخدام سماعات «إي إي جي»، وذلك بتكوين لعبة تومض صوراً بشكل غير مباشر، وهذه الصور تشبه شعارات وعلامات البنوك، ولاحظوا متى تسجل موجات المخ للشخص عملية التعرف. وقال الباحثون إن «النتائج التي توصلوا إليها تشير إلى أن موجات كهربية المخ يمكن أن توفر بيانات قيمة لحملات الاصطياد والاحتيال أو الإعلانات الاستهدافية».

وتوصل إلى هذه النتيجة المثيرة فريق من الباحثين في جامعة آلاباما الأميركية، ونشرت تفاصيلها أخيراً على موقع نشرة المراجعات التقنية التابعة لمعهد «ماساشوستس» للتقنية «إم آي تي» technologyreview.com، وذلك بعد أن أجرى الفريق دراسة على مجموعة من مستخدمي أحد أنواع سماعات الرأس الموجودة بالأسواق، والتي تستخدم في الألعاب الالكترونية، خصوصاً التي تعمل بتقنية الواقع الافتراضي، كما تستخدم في الوقت نفسه كأداة من أدوات تخطيط كهربية المخ «إي إي جي» التي تستخدم في أغراض طبية وعلاجية.

الشبكة العصبية

ويأتي هذا البحث ضمن فئة من البحوث في تقنية المعلومات تهتم بدراسة العلاقة بين النظم والتطبيقات والبرمجيات من جهة، والشبكة العصبية للإنسان من جهة أخرى، لاسيما الشبكة العصبية للمخ، بهدف إيجاد أدوات ونظم مختصة بقراءة وفهم التفاعلات التي تجرى بالمخ، والقيام بنوع من التواصل والتفاعل معها، بما يفتح المجال لتطبيقات واستخدامات عملية وطبية وصناعية جديدة. واستهدف البحث بصورة أساسية اختبار فرضية أساسية، هي: هل يمكن استخدام موجات المخ لتخمين كلمات المرور؟ وهل يمكن أن تكون هناك برمجيات خبيثة تستطيع استخدام واجهات تفاعل مع المخ للمساعدة على سرقة كلمات المرور وغيرها من البيانات الخاصة بالمستخدمين؟ وللإجابة على تلك الفرضية، تم إخضاع واحدة من سماعات الرأس الموجودة في الأسواق وهي السماعة «إيبوك بلس»، للتحليل والاختبار، وتتميز بقدرتها على استشعار موجات المخ، ويتم تسويقها على أنها قادرة على كشف الحالة العاطفية مثل الإحباط والإثارة، وتسمح بالتحكم في «الروبوتات» من خلال أفكار المستخدم.

تقنية «إي إي جي»

وقال الأستاذ المساعد في جامعة آلاباما، الدكتور نايتش ساكسينا، الذي أشرف على الدراسة، إن «سماعة الرأس (إيبوك) واحدة من أجهزة عدة موجودة بالسوق، ومزودة بأقطاب للكشف عن التغيرات في الجهد الكهربي بالقشرة الخارجية للمخ، وهو منهج يعرف باسم تخطيط كهربية المخ أو (إي إي جي)»، موضحاً أن «مثل هذه الأجهزة تستخدم في البحوث للقيام بمهام كتشغيل (الروبوتات)، وفي الأغراض العلاجية لتشخيص ارتجاجات المخ، كما أنها تباع للمستهلكين كمتحكمات في الألعاب الإلكترونية وبتقنيات الواقع الافتراضي».

وأضاف ساكسينا أنه «بناء على الشواهد والملاحظات التي قام بها الفريق البحثي، افترض أعضاء الفريق أن الشخص الذي يوقف جلسة لعب على الألعاب الالكترونية، ثم يدخل إلى حسابه البنكي وهو لايزال يرتدي سماعة الرأس العاملة بتقنية (إي إي جي)، يمكن أن يكون معرضاً لخطر برنامج خبيث يستطيع التجسس على بياناته الشخصية الحساسة عبر موجات المخ».

وبين أن «هذه الفرضية انطلقت من أن المستخدمين يُدخلون أولاً كود التعريف الشخصي العشوائي، ثم كلمات المرور أثناء ارتداء هذه السماعة، فإذا كان هناك برنامج خبيث بالسماعة، فإن هذا الوضع يسمح للبرنامج الخبيث بتعلم وفهم الرابط بين ما يكتبه المستخدم، وبين الموجات الكهربية التي تظهر على القشرة الخارجية للمخ».

الواقع الفعلي

وأوضح ساكسينا أن «هذه الخطوة التدريبية يمكن إنجازها في الواقع الفعلي من خلال لعبة تطلب من المستخدمين إدخال نص أو كود، كجزء من ممارسة اللعبة على سبيل المثال»، مشيراً إلى أنه «لاختبار هذه الفرضية علمياً، تمت ملاحظة شخص أدخل 200 حرف وهو يرتدي هذه السماعة، وقام الفريق بتشغيل نموذج رياضي (خوارزمية) قادر على عمل تخمينات مبنية على التعلم عند الحرف الذي يقوم الشخص بإدخاله من خلال مراقبة بيانات تخطيط كهربية المخ». وذكر أنه «في نهاية الاختبار توصل الباحثون إلى أن عملية التعلم التي تمت استناداً الى بيانات موجات كهربية المخ، قللت عدد التخمينات بشدة، خصوصاً في حالة الكود التعريفي المكون من أربعة أرقام، حيث انخفض الرقم من تخمين واحد صحيح بين كل 10 آلاف تخمين، إلى تخمين واحد صحيح بين كل 20 تخميناً فقط، وفي حالة كلمة المرور المكونة من ستة حروف، انخفض الرقم من تخمين واحد صحيح بين كل 500 ألف تخمين، إلى تخمين واحد صحيح بين كل 500 تخمين». وأفاد ساكسينا، بأنه «من هنا استنتج الباحثون أنه عند وجود برنامج خبيث في هذه السماعة، سيكون بإمكانه استغلال بيانات موجات كهربية المخ في التجسس على اللاعب وتخمين كلمات المرور والبيانات الحساسة الأخرى، إذا كان هذا الشخص يعتاد التجوال على الـ(ويب) وفتح حسابه البنكي أو أي موقع يتطلب كتابة بيانات حساسة أخرى وهو لايزال مرتدياً السماعة على رأسه».

رد الشركة

من جهته، قال متحدث رسمي باسم شركة «إي موتيف» المنتجة لسماعة «إيبوك بلس»، إن «مثل هذا الهجوم سيكون غير عملي، فالمستخدمون يصبحون متشككين إذا ما حاول البرنامج توجيههم في تمرين تدريبي لكي يعلم البرنامج القدرة على التخمين أثناء إدخال حروف كلمات المرور»، مضيفاً أن «الشركة لابد أن تقوم بالإقرار والموافقة على جميع البرمجيات التي تقوم بالارتباط والعمل مع سماعة الرأس التي تنتجها».