Kraja gesla s Googlovim steklom, pametnimi urami, spletnimi kamerami, karkoli že!

Tukaj v SecurityWatchu bralcem pogosto sporočamo, da morajo pametne telefone varovati s - vsaj - PIN kodo. Toda po letošnji Črni klobuki bi to lahko bilo že dovolj. Zdaj mora napadalec ukrasti geslo pametnega telefona, je video kamera ali celo nosljiva naprava, kot je Google Glass.

Voditelj Qinggang Yue je demonstriral izjemen nov napad svoje ekipe v Las Vegasu. Z uporabo video posnetkov trdijo, da lahko samodejno prepoznajo 90 odstotkov pasotov, oddaljenih do devet čevljev od cilja. Preprosta ideja: razbiti gesle z gledanjem tiskov žrtev. Razlika je v tem, da je ta nova tehnika veliko bolj natančna in popolnoma avtomatizirana.

Yue je začel svojo predstavitev z besedami, da bi naslov lahko spremenili v, "moj iphone vidi vaše geslo ali moja pametna ura vidi vaše geslo." Karkoli s kamero bo opravilo to delo, toda tisto, kar je na zaslonu, ni treba videti.

Prstni pogled

Če želite "videti" pipe na zaslonu, Yuejeva ekipa z različnimi sredstvi spremlja relativno gibanje prstov žrtev nad zasloni na dotik. Začnejo z analizo tvorjenja senc okoli prsta, ko trka po zaslonu na dotik, skupaj z drugimi tehnikami računalniškega vida. Za preslikavo pipov uporabljajo ravninsko homografijo in referenčno sliko programske tipkovnice, ki se uporablja na napravi žrtev.

Tehnična prefinjenost tega je res izjemna. Yue je razložil, kako sta z različnimi tehnikami vizualne obdelave s svojo ekipo z večjo in večjo natančnostjo lahko določila položaj prsta žrtve nad zaslonom. Na primer, različna osvetlitev delov prsta žrtve je pomagala določiti smer pipe. Yue je celo pogledal odsev prsta, da bi določil svoj položaj.

Presenetljiva je ugotovitev, da ljudje ponavadi ne premikajo preostalih prstov med tapkanjem kode. To je ekipi Yue omogočilo sledenje več točk na roki hkrati.

Še bolj presenetljivo je, da bo ta napad deloval za vsako standardno konfiguracijo tipkovnice, le numpad.

Kako slabo je?

Yue je pojasnil, da bi lahko od blizu, pametne telefone in celo pametne ure uporabili za zajem videoposnetka, potrebnega za določitev gesla žrtve. Spletne kamere so delovale nekoliko bolje, večjo tipkovnico iPada pa si je bilo zelo enostavno ogledati.

Ko je Yue uporabil videokamero, je lahko zajel geslo žrtve oddaljen od 44 metrov. Po scenariju, za katerega je Yue povedal, da je njegova ekipa testirala, je bil napadalec z videokamero v četrtem nadstropju stavbe in čez cesto pred žrtvijo. Na tej razdalji je dosegel 100-odstotno uspešnost.

Spremenite tipkovnico, spremenite igro

Če se to sliši grozljivo, se nikoli ne bojite. Predstavitelji so se z novim orožjem proti lastnemu ustvarjanju pojavili: tipkovnica za izboljšanje zasebnosti. Ta kontekstualna tipkovnica določa, ko vnašate občutljive podatke in prikazuje randomizirano tipkovnico za telefone Android. Njihova shema na podlagi vizije daje določene predpostavke glede postavitve tipkovnice. Preprosto spremenite tipkovnico in napad ne bo deloval.

Druga omejitev napada je poznavanje naprave in oblike njene tipkovnice. Morda se uporabniki iPad-a ne bodo počutili tako slabo v oddajnih napravah.

Če vse, kar se ne sliši, je dovolj, da se zaščitite, je imel Yue nekaj preprostih, praktičnih nasvetov. Predlagal je, da osebne podatke vnesete zasebno ali preprosto pokrijete zaslon med tipkanjem.