Кража паролей с Google Glass, SmartWatches, веб-камеры, что угодно!

Здесь, в SecurityWatch, мы часто говорим читателям, что им необходимо обеспечить безопасность своих смартфонов с помощью - как минимум - PIN-кода. Но после Black Hat этого года этого может быть достаточно. Теперь все, что нужно злоумышленнику, чтобы украсть код доступа смартфона, - это видеокамера или даже носимое устройство, такое как Google Glass.

Ведущий Цинган Юэ продемонстрировал замечательную новую атаку своей команды в Лас-Вегасе. Используя видеозаписи, они утверждают, что могут автоматически распознавать 90 процентов пасодов на расстоянии до девяти футов от цели. Идея проста: взломать пароли, следя за тем, что нажимают жертвы. Разница в том, что эта новая техника гораздо более точна и полностью автоматизирована.

Юэ начал свою презентацию, сказав, что название можно изменить на «мой iphone видит ваш пароль или мои умные часы видят ваш пароль». Все, что с камерой, сделает эту работу, но то, что на экране, не должно быть видно.

Взгляд пальца

Чтобы «увидеть» прикосновения к экрану, команда Юэ отслеживает относительное движение пальцев жертв по сенсорным экранам, используя различные средства. Они начинают с анализа формирования тени вокруг кончика пальца, когда он ударяет по сенсорному экрану, наряду с другими методами компьютерного зрения. Для сопоставления отводов они используют плоскую гомографию и эталонное изображение программной клавиатуры, используемой на устройстве жертвы.

Техническая сложность этого действительно замечательна. Юэ объяснил, как, используя различные методы визуальной обработки, он и его команда смогли определить положение пальца жертвы над экраном с большей и большей точностью. Например, различное освещение частей пальца жертвы помогло определить направление касания. Юэ даже посмотрел на отражение пальца, чтобы определить его положение.

Одним из удивительных открытий является то, что люди, как правило, не шевелят остальными пальцами при нажатии на код. Это дало команде Юэ возможность отслеживать сразу несколько очков на руке.

Еще более поразительным является то, что эта атака будет работать для любой стандартной конфигурации клавиатуры, просто цифровая клавиатура.

Насколько плохо?

Юэ объяснил, что на близком расстоянии смартфоны и даже умные часы можно использовать для захвата видео, необходимого для определения пароля жертвы. Веб-камеры работали немного лучше, а большую клавиатуру iPad было очень легко просматривать.

Когда Юэ использовал видеокамеру, он смог захватить пароль жертвы на расстоянии до 44 метров. В сценарии, который, по словам Юэ, проверял его команда, злоумышленник с видеокамерой находился на четвертом этаже здания и через дорогу от жертвы. На этом расстоянии он достиг 100-процентного успеха.

Поменяй клавиатуру, поменяй игру

Если это звучит ужасно, никогда не бойся. Докладчики пришли с новым оружием против их собственного создания: клавиатура улучшения конфиденциальности. Эта контекстно-зависимая клавиатура определяет, когда вы вводите конфиденциальные данные, и отображает рандомизированную клавиатуру для телефонов Android. Их основанная на видении схема делает определенные предположения о раскладке клавиатуры. Просто поменяйте клавиатуру, и атака не сработает.

Еще одним ограничением атаки является знание устройства и формы его клавиатуры. Возможно, пользователи iPad не будут так расстраиваться из-за сбивающих устройств.

Если всего этого не достаточно, чтобы обезопасить себя, у Юэ был простой практический совет. Он предложил вводить личную информацию конфиденциально или просто прикрывать экран во время набора текста.