Furarea parolelor cu Google Glass, ceasuri inteligente, camere web, orice!

Aici, la SecurityWatch, spunem adesea cititorilor că trebuie să-și păstreze smartphone-urile cu un cod PIN - cel puțin -. Dar după pălăria neagră din acest an, s-ar putea să fie suficient. Acum, tot un atacator trebuie să fure o parolă de pe smartphone este o cameră video sau chiar un dispozitiv purtabil precum Google Glass.

Prezentatorul Qinggang Yue a demonstrat noul atac remarcabil al echipei sale la Las Vegas. Folosind imagini video, aceștia susțin că sunt în măsură să recunoască automat 90 la sută dintre pasode la o distanță de până la nouă metri de țintă. Este o idee simplă: rupeți codurile de acces urmărind ce presă a victimelor. Diferența este că această nouă tehnică este mult mai precisă și complet automatizată.

Yue și-a început prezentarea spunând că titlul ar putea fi schimbat în „iPhone-ul meu vă vede parola sau smartwatch-ul dvs. vă vede parola”. Orice aparat de fotografiat va face treaba, dar ceea ce este pe ecran nu trebuie să fie vizibil.

Finging Gazing

Pentru a „vedea” robinetele de pe ecran, echipa lui Yue urmărește mișcarea relativă a degetelor victimelor asupra ecranelor tactile folosind o varietate de mijloace. Încep prin a analiza formarea de umbră în jurul vârfului degetului în timp ce lovește ecranul tactil, împreună cu alte tehnici de vizionare a computerului. Pentru a face mapări la robineturi, acestea folosesc omografia plană și o imagine de referință a tastaturii software utilizate pe dispozitivul victimelor.

Sofisticarea tehnică este foarte remarcabilă. Yue a explicat cum folosind o varietate de tehnici de procesare vizuală, el și echipa sa au putut determina poziția degetului victimei pe ecran cu o precizie mai mare și mai mare. De exemplu, iluminarea diferită a părților degetului victimei a ajutat la determinarea direcției robinetului. Yue chiar s-a uitat la reflexia degetului pentru a-i determina poziția.

O constatare surprinzătoare este că oamenii tind să nu miște restul degetelor în timp ce ating un cod. Acest lucru a dat echipei lui Yue capacitatea de a urmări mai multe puncte pe mână simultan.

Mai uluitor este că acest atac va funcționa pentru orice configurație standard a tastaturii, doar pentru un numpad.

Cât de rău este?

Yue a explicat că, la o gamă apropiată, smartphone-urile și chiar ceasurile inteligente ar putea fi folosite pentru a surprinde videoclipul necesar pentru a determina parola de acces a unei victime. Camerele web au funcționat puțin mai bine, iar tastatura mai mare a iPad-ului a fost foarte ușor de vizualizat.

Când Yue a folosit o cameră video, a fost capabil să surprindă parola victimei de până la 44 de metri. Scenariul, pe care Yue a declarat că echipa sa l-a testat, a avut un atacator cu o cameră video la etajul al patrulea al unei clădiri și peste strada victimei. La această distanță, a obținut o rată de succes de 100 la sută.

Schimbați tastatura, schimbați jocul

Dacă acest lucru sună îngrozitor, nu vă temeți niciodată. Prezentatorii au venit cu o nouă armă împotriva propriei creații: tastatura de îmbunătățire a confidențialității. Această tastatură conștientă de context determină când introduceți date sensibile și afișează o tastatură randomizată pentru telefoanele Android. Schema lor bazată pe viziune face anumite ipoteze cu privire la aspectul tastaturii. Pur și simplu schimbați tastatura și atacul nu va funcționa.

O altă limitare a atacului este cunoașterea dispozitivului și forma tastaturii sale. Poate că utilizatorii de iPad nu se vor simți atât de rău în privința dispozitivelor knock-off.

Dacă tot ce nu sună de parcă este suficient pentru a vă păstra în siguranță, Yue a avut câteva sfaturi simple și practice. El a sugerat să introduceți informații personale în privat sau să acoperiți pur și simplu ecranul în timp ce tastați.