Salasanojen varastaminen google-lasilla, älykellot, verkkokamerat, mitä tahansa!

Täällä SecurityWatchissa sanomme lukijoille usein, että heidän on pidettävä älypuhelimensa turvassa vähintään PIN-koodilla. Mutta tämän vuoden mustan hatun jälkeen se saattaa olla tarpeeksi. Nyt kaiken hyökkääjän täytyy varastaa älypuhelimen salasana on videokamera tai jopa puettava laite, kuten Google Glass.

Presenter Qinggang Yue esitteli ryhmänsä merkittävän uuden hyökkäyksen Las Vegasissa. Videomateriaalin avulla he väittävät pystyvänsä tunnistamaan automaattisesti 90 prosenttia passoista, jotka ovat korkeintaan yhdeksän jalan päässä tavoitteesta. Se on yksinkertainen idea: rikkoa pääsykoodit seuraamalla uhrien lehdistöä. Ero on siinä, että tämä uusi tekniikka on paljon tarkempi ja täysin automatisoitu.

Yue aloitti esittelynsä sanomalla, että otsikko voitaisiin muuttaa seuraavasti: "iPhone näkee salasanasi tai älykelloni näkee salasanasi". Minkä tahansa kameralla varustetun työn tulee tehdä, mutta näytöllä olevan näytön ei tarvitse olla näkyvissä.

Sormen katse

Yue-joukkue jäljittää uhrien sormen suhteellisen liikkeen kosketusnäyttöjen avulla "nähdäksesi" näytön napoja näytöllä monin eri keinoin. He aloittavat analysoimalla varjon muodostumista sormenpäiden ympärillä, kun se osuu kosketusnäyttöön yhdessä muiden tietokoneen näkemystekniikoiden kanssa. Hanojen kartoittamiseksi he käyttävät tasomaista homografiaa ja viitekuvan uhrin laitteessa käytetystä ohjelmistonäppäimistöstä.

Tämän tekninen hienostuneisuus on todella merkittävä. Yue selitti, kuinka hän käytti erilaisia ​​ryhmiä visuaalisten prosessointitekniikoiden avulla määrittämään uhrin sormen sijainti näytön yli entistä tarkemmin. Esimerkiksi uhrin sormen eri osien valaistus auttoi määrittämään hanan suunnan. Yue jopa katsoi sormen heijastusta määrittääkseen sen sijainnin.

Yksi yllättävä havainto on, että ihmiset eivät yleensä siirrä loppua sormeaan napauttaessaan koodia. Tämä antoi Yue-joukkueelle mahdollisuuden seurata useita pisteitä kädellä kerralla.

Hämmästyttävämpää on, että tämä hyökkäys toimii kaikissa näppäimistön vakiokokoonpanoissa, vain numeronäppäimissä.

Kuinka paha se on?

Yue selitti, että lähietäisyydellä älypuhelimia ja jopa älykelloja voidaan käyttää videon sieppaamiseen, joka tarvitaan uhrin salasanan määrittämiseen. Verkkokamerat toimivat hieman paremmin, ja iPadin suurempi näppäimistö oli erittäin helppo katsella.

Kun Yue käytti videokameraa, hän pystyi kaappaamaan uhrin salasanan jopa 44 metrin etäisyydeltä. Skenaariossa, jonka Yue sanoi ryhmänsä kokeilemansa, oli hyökkääjä videokameralla rakennuksen neljännessä kerroksessa ja kadun toisella puolella uhria. Tällä etäisyydellä hän saavutti 100 prosentin onnistumisaste.

Vaihda näppäimistö, muuta peliä

Jos tämä kuulostaa kauhistuttavalta, älä koskaan pelkää. Esittelijät saivat uuden aseen omaa luomusta vastaan: Privacy Enhancing Keyboard. Tämä tilannetietoinen näppäimistö määrittää, kun syötät arkaluonteisia tietoja, ja näyttää satunnaistetun näppäimistön Android-puhelimille. Heidän visiopohjainen suunnitelmansa tekee tiettyjä oletuksia näppäimistön asettelusta. Vaihda vain näppäimistö, ja hyökkäys ei toimi.

Toinen rajoitus hyökkäykselle on laitteen ja sen näppäimistön muodon tuntemus. Ehkä iPad-käyttäjät eivät tunne niin huonosti kaappauslaitteita.

Jos kaikki tämä ei kuulosta riittävältä pitämään itsesi turvassa, Yuella oli yksinkertaisia, käytännöllisiä neuvoja. Hän ehdotti, että kirjoitat henkilökohtaiset tiedot yksityisesti tai peitä näytön vain kirjoittaessasi.