Krást hesla pomocí google skla, smartwatches, webových kamer, cokoli!

Zde na SecurityWatch čtenářům často říkáme, že musí své smartphony zabezpečit - minimálně pomocí PIN kódu. Ale po letošním Black Hat to už bude stačit. Nyní musí útočník ukrást přístupový kód smartphonu jako videokamera nebo dokonce nositelné zařízení, jako je Google Glass.

Prezentující Qinggang Yue předvedl pozoruhodný nový útok svého týmu v Las Vegas. Pomocí videozáznamu tvrdí, že jsou schopni automaticky rozpoznat 90 procent pasod až do devíti stop od cíle. Je to jednoduchý nápad: rozbít přístupové kódy sledováním tisku obětí. Rozdíl je v tom, že tato nová technika je mnohem přesnější a plně automatizovaná.

Yue zahájil svou prezentaci slovy, že název lze změnit na: „můj iphone vidí vaše heslo nebo moje smartwatch vidí vaše heslo.“ Cokoli s fotoaparátem udělá práci, ale to, co je na obrazovce, nemusí být vidět.

Hledí prstem

Chcete-li "vidět" klepnutí na obrazovce, tým Yue sleduje různé pohyby prstů obětí na dotykových obrazovkách různými způsoby. Začíná analýzou tvorby stínů kolem prstu, když zasáhne dotykovou obrazovku, spolu s dalšími technikami počítačového vidění. K mapování kohoutků používají planární homografii a referenční obrázek softwarové klávesnice použité na zařízení obětí.

Technická sofistikace je opravdu pozoruhodná. Yue vysvětlil, jak pomocí různých technik vizuálního zpracování mohl on a jeho tým s větší a větší přesností určit polohu prstu oběti na obrazovce. Například různé osvětlení částí prstu oběti pomohlo určit směr klepnutí. Yue se dokonce podíval na odraz prstu a určil jeho polohu.

Jedním překvapivým zjištěním je, že lidé mají sklon nepohybovat se zbytkem prstů a přitom klepat na kód. Tím byl Yueův tým schopen sledovat několik bodů na ruce najednou.

Více překvapující je, že tento útok bude fungovat pro jakoukoli standardní konfiguraci klávesnice, pouze pro numpad.

Jak moc je to špatné?

Yue vysvětlil, že v blízkém dosahu lze chytré telefony a dokonce i chytré hodinky použít k zachycení videa nezbytného k určení přístupového kódu oběti. Webové kamery fungovaly o něco lépe a větší klávesnici iPadu bylo možné snadno zobrazit.

Když Yue použil videokameru, byl schopen zachytit heslo oběti až do vzdálenosti 44 metrů. Scénář, který Yue řekl, že jeho tým testoval, měl útočníka s videokamerou ve čtvrtém patře budovy a přes ulici od oběti. V této vzdálenosti dosáhl 100 procent úspěšnosti.

Změňte klávesnici, změňte hru

Pokud to zní strašlivě, nikdy se nebojte. Přednášející přišli s novou zbraní proti vlastní tvorbě: Keyboard Enhancing Keyboard. Tato kontextová klávesnice určuje, kdy zadáváte citlivá data, a zobrazuje randomizovanou klávesnici pro telefony Android. Jejich schéma založené na vizích vytváří určité předpoklady ohledně rozložení klávesnice. Jednoduše změňte klávesnici a útok nebude fungovat.

Dalším omezením útoku je znalost zařízení a tvar jeho klávesnice. Možná se uživatelé iPadu nebudou cítit tak špatně na knock-off zařízeních.

Pokud všechno, co nezní, jako by stačilo, abyste se udrželi v bezpečí, měla Yue několik jednoduchých praktických rad. Navrhoval zadávání osobních údajů v soukromí nebo jednoduše při psaní psal na obrazovku.