Jelszavak lopása google glass segítségével, intelligens órák, webkamerák, bármi más!

Itt, a SecurityWatch szolgáltatásban, gyakran azt mondjuk az olvasóknak, hogy okostelefonjaikat legalább PIN-kóddal biztonságban kell tartaniuk. De az idei fekete kalap után már elég lehet. Most minden támadónak el kell lopnia egy okostelefon-jelszavát, amely videokamera, vagy akár olyan hordható eszköz, mint a Google Glass.

Qinggang Yue műsorvezető bemutatta csapata figyelemre méltó új támadását Las Vegasban. Videofelvételek felhasználásával azt állítják, hogy képesek automatikusan felismerni a passzó 90% -át a céltól legfeljebb kilenc lábnyira. Ez egy egyszerű ötlet: törje a jelszavakat az áldozatok sajtójának figyelésével. A különbség az, hogy ez az új technika sokkal pontosabb és teljesen automatizált.

Yue azzal kezdte az előadását, hogy a címet megváltoztathatja: "Az én iPhone látja a jelszavad, vagy az intelligens órám látja a jelszót." Bármelyik kamera működik, amely elvégzi a munkát, de a képernyőn láthatónak nem kell láthatónak lennie.

Ujjas pillantás

A képernyőn megjelenő csapok "megtekintéséhez" a Yue csapata különféle eszközökkel nyomon követi az áldozatok ujjainak relatív mozgását az érintőképernyőn. Először az ujjhegy körüli árnyékképződés elemzésével kezdik, amikor az megérinti az érintőképernyőt, más számítógépes látástechnikákkal együtt. A csapok feltérképezéséhez sík homográfiát és az áldozatok eszközén használt szoftver billentyűzet referenciaképét használják.

Ennek technikai kifinomultsága valóban figyelemre méltó. Yue elmagyarázta, hogy különféle vizuális feldolgozási technikák alkalmazásával ő és csapata egyre nagyobb pontossággal tudta meghatározni az áldozat ujjának a képernyőn való elhelyezkedését. Például az áldozat ujjának különféle megvilágítása segített meghatározni a csap irányát. Yue még az ujj visszatükröződését is megnézte, hogy meghatározza helyzetét.

Az egyik meglepő megállapítás az, hogy az emberek hajlamosak nem mozgatni az ujjaikat, miközben egy kódot csapnak be. Ez lehetővé tette a Yue csapatának, hogy egyszerre több pontot nyomon követhessen a kezén.

Több megdöbbentő, hogy ez a támadás bármilyen szokásos billentyűzet-konfiguráció esetén működik, csak egy számbillentyűzetnél.

Milyen rossz ez?

Yue elmondta, hogy közelről okostelefonok és akár intelligens órák is felhasználhatók az áldozatok jelszavának meghatározásához szükséges videó rögzítésére. A webkamerák kissé jobban működtek, és az iPad nagyobb billentyűzetét nagyon könnyű megtekinteni.

Amikor Yue videokamerát használt, 44 méterre képes volt rávenni az áldozat jelszavát. A forgatókönyv szerint, amelyet Yue szerint csapata tesztelt, egy támadó videokamerával volt az épület negyedik emeletén és az utca túloldalán az áldozattól. Ennél a távolságnál 100 százalékos sikert ért el.

Cserélje ki a billentyűzetet, változtassa meg a játékot

Ha ez félelmetesnek tűnik, soha ne félj. Az előadók egy új fegyverrel érkeztek a saját alkotásuk ellen: a Privacy Enhancing Keyboard. Ez a környezettudatos billentyűzet határozza meg, mikor ad be érzékeny adatokat, és egy véletlenszerű billentyűzetet jelenít meg az Android telefonokhoz. A látás-alapú sémájuk bizonyos feltételezéseket tesz a billentyűzet elrendezésével kapcsolatban. Egyszerűen cserélje ki a billentyűzetet, és a támadás nem fog működni.

A támadás másik korlátozása az eszköz és a billentyűzet alakjának ismerete. Az iPad felhasználók talán nem érzik magukat annyira rosszul a knock-off eszközökkel kapcsolatban.

Ha mindez nem tűnik elégnek ahhoz, hogy biztonságban maradj, Yue-nak volt néhány egyszerű, praktikus tanácsa. Javasolta, hogy adja meg személyes adatait magántulajdonban, vagy gépelés közben egyszerűen takarja le képernyőjét.