Pas på dit NemID-nøglekort. Brug antivirussoftware og pas på, at ham bag dig ikke ser din pinkodeindtastning til Hawaiifesten i kollegiebaren. Verden er fuld af trusler mod dine personlige data, og nu er der endnu en grund til at være på vagt.

Et forskerhold sammensat af folk fra universiteterne ved Berkeley i Californien, Oxford i England og Genève i Schweiz har demonstreret, hvordan det er muligt at hive oplysninger om pinkoder, bopæl og kreditkortinformationer ud af folk, der er iført et headset, der kan opfange hjernebølger.

Forskerne har testet med EEG-headsets i forbrugerelektronik-klassen, som blandt andet er beregnet til at kontrollere computerspil med. Der er altså ikke tale om fancy medicinsk udstyr, der koster det hvide ud af øjnene.

Hjernebølger afslørede rigtige tal

Forskernes eksperimenter foregik ved at udstyre 30 forsøgsdeltagere med EEG-headsettet Emotiv Epoc Neuroheadset, som blev kalibreret til de enkelte individer. Herefter blev personerne udsat for forskellige forsøg, hvor de blev vist billeder af tilfældige talrækker, hæveautomater, landkort, personer og hævekort.

Målet var blandt andet at finde ud af, om det via testpersonernes hjernebølger kunne lade sig gøre at afsløre tal i en pinkode (som forsøgspersonerne havde opdigtet til lejligheden).

For at afsløre det første tal i pinkoden, blev forsøgspersonerne præsenteret for tal mellem 0 og 9 på en skærm i tilfældig rækkefølge - et efter et. Hvert nummer blev gentaget 16 gange over et forløb på 90 sekunder. Imens blev forsøgspersonernes hjernebølger aflæst for at se, om der skulle være en afslørende reaktion, skriver Wired.

Der blev også lavet forsøg på at finde frem til informationer om forsøgspersonernes bopæl og fødselsdato, ligesom det blev forsøgt at afsløre, hvorvidt personerne genkender et ansigt, et hævekort eller en hæveautomat alene ud fra deres hjernebølger.

»Det rigtige svar blev fundet ved første forsøg i 20 pct. af tilfældende, hvad angår eksperimentet med pinkoden, hævekortet, personerne og hæveautomaterne,« fremgår det af forskernes rapport med titlen 'On the Feasibility of Side-Channel Attacks with Brain Computer Interfaces'.

»Det korrekte sted (i forhold til bopæl, red.) blev korrekt gættet i 30 pct. af tilfældene, fødselsmåneden i næsten 60 pct. og bank baseret på hæveautomat i næsten 30 pct.,« står der endvidere i rapporten.

Forskerne har fundet frem til de afslørende oplysninger ved at analysere på såkaldte p300 peaks. Det er hjernebølger, der opstår omkring 300 millisekunder efter, at en person har været præsenteret for en stimuli-skabende begivenhed.

Ondsindet brug

Ifølge Mario Frank, post.doc. ved Berkeley, kan den form for tankelæsningsteknikker potentielt bruges til at hive informationer ufrivilligt ud af et offer.

»Potentialet er der, hvis man 'indstiller' (prime) tankerne mod en bestemt begivenhed. En angriber kunne indstille et offers tanker mod en bestemt hemmelighed, som offeret har i tankerne. Eksempelvis, hvis du kender ansigtet på en person, så vil man måske være i stand til at observere et hjernebølgemønster, som beviser, at brugeren tænker på det ansigt,« siger han til Wired.

Forskerne forestiller sig desuden en situation, hvor det vil være muligt at skrive hjerne-spyware. Mario Frank forklarer til Wired, at et eksempel kunne være en bruger, som downloader et ondsindet program, der kan interagere med hjernebølge-headsettet. Herefter deltager brugeren, der er i god tro, aktivt i kalibreringen af headsettet for at få det til at fungere med softwaren.

Og i forbindelse med den tilsyneladende uskadelige kalibreringsproces, som er almindelig for spil og programmer, der fungerer med EEG-headsets, så kunne det være muligt for den ondsindede person bag programmet at indhente fortrolig information, skriver Wired.

Mario Frank fortæller, at den form for headsets bliver stadig mere populære. Inden for fem til ti år kan de være gængse i mange husstande. Og til den tid vil der være alle mulige tredjeparts-apps til enhederne, forudser han.

Dokumentation

Wired: Researchers Hack Brainwaves to Reveal PIN Numbers, Other Personal Data
On the Feasibility of Side-Channel Attacks with Brain-Computer Interfaces