Кражба на пароли с Google стъкло, смарт часовници, уеб камери, каквото и да е!

Тук, в SecurityWatch, ние често казваме на читателите, че трябва да пазят своите смартфони с минимум - ПИН код. Но след тазгодишната Черна шапка, това може би вече е достатъчно. Сега всички нападатели трябва да откраднат парола за смартфон е видеокамера или дори носимо устройство като Google Glass.

Водещият Кингган Юе демонстрира забележителната нова атака на своя отбор в Лас Вегас. Използвайки видео кадри, те твърдят, че могат да разпознават автоматично 90 процента от паспорти на разстояние до девет фута от целта. Това е проста идея: разбийте паролите, като гледате каква преса на жертвите. Разликата е, че тази нова техника е много по-точна и напълно автоматизирана.

Yue започна презентацията си, като каза, че заглавието може да бъде променено на „iphone вижда вашата парола или smartwatch вижда вашата парола“. Всичко с камера ще ви свърши работа, но това, което е на екрана, не е необходимо да се вижда.

Пръстен поглед

За да „види“ кранове на екрана, екипът на Yue проследява относителното движение на пръстите на жертвите върху сензорни екрани, използвайки различни средства. Те започват с анализ на образуването на сенки около върха на пръста, докато удря сензорния екран, заедно с други техники за компютърно зрение. За да картографират крановете, те използват плоска хомография и референтно изображение на софтуерната клавиатура, използвана на устройството на жертвите.

Техническата сложност на това наистина е забележителна. Юе обясни как използвайки различни техники за визуална обработка, той и неговият екип успяха да определят позицията на пръста на жертвата над екрана с по-голяма и по-голяма точност. Например различното осветление на части от пръста на жертвата помогна да се определи посоката на крана. Юе дори погледна отражението на пръста, за да определи положението му.

Едно изненадващо откритие е, че хората са склонни да не мърдат останалите пръсти, докато натискат код. Това даде възможност на екипа на Yue да проследява няколко точки на ръката наведнъж.

Още по-стряскащо е, че тази атака ще работи за всяка стандартна конфигурация на клавиатурата, а само за numpad.

Колко е лошо?

Юе обясни, че на близко разстояние смартфоните и дори интелигентните часовници могат да бъдат използвани за заснемане на видеото, необходимо за определяне на паролата на жертвата. Уеб камери работи малко по-добре, а по-голямата клавиатура на iPad беше много лесна за гледане.

Когато Yue използва видеокамера, той успя да улови паролата на жертвата от разстояние до 44 метра. Сценарият, по който Юе каза, че екипът му е тествал, е имал нападател с видеокамера на четвъртия етаж на сградата и от другата страна на улицата от жертвата. На това разстояние той постигна 100-процентов успех.

Промяна на клавиатурата, промяна на играта

Ако това ви звучи ужасяващо, никога не се страхувайте. Презентаторите дойдоха с ново оръжие срещу собственото си творение: клавиатурата за повишаване на поверителността. Тази контекстна клавиатура определя, когато въвеждате чувствителни данни и показва рандомизирана клавиатура за телефони с Android. Тяхната визионна схема прави определени предположения за оформлението на клавиатурата. Просто сменете клавиатурата и атаката няма да работи.

Друго ограничение на атаката е познаването на устройството и формата на клавиатурата му. Може би потребителите на iPad няма да се чувстват толкова зле в устройствата за избиване.

Ако всичко, което не ви звучи, е достатъчно, за да се предпазите, Юе имаше няколко прости, практични съвета. Той предложи да въведете лична информация лично или просто да покриете екрана си, докато пишете.