Krádeže hesiel pomocou skla Google, smartwatches, webových kamier, čokoľvek!

Na stránkach SecurityWatch často čitateľom hovoríme, že musia svoje smartphony zabezpečovať minimálne PIN kódom. Ale po tohtoročnom Čiernom klobúku to už bude stačiť. Teraz musí útočník ukradnúť prístupový kód smartfónu ako videokamera alebo dokonca nositeľné zariadenie, ako je napríklad Google Glass.

Prezentujúci Qinggang Yue demonštroval pozoruhodný nový útok svojho tímu v Las Vegas. Pomocou videozáznamu tvrdia, že dokážu automaticky rozpoznať 90 percent pasáží až do vzdialenosti 9 stôp od cieľa. Je to jednoduchý nápad: rozbiť prístupové kódy sledovaním tlače obetí. Rozdiel je v tom, že táto nová technika je omnoho presnejšia a plne automatizovaná.

Yue začal svoju prezentáciu tvrdením, že názov by sa mohol zmeniť na: „môj iphone vidí vaše heslo alebo moje smartwatch vidí vaše heslo.“ Túto úlohu vykoná čokoľvek s fotoaparátom, ale to, čo je na obrazovke, nemusí byť viditeľné.

Pozeranie prstom

Aby videli tímy na obrazovke, tím Yue sleduje rôzne pohyby prstov obetí cez dotykové obrazovky rôznymi spôsobmi. Začínajú analýzou tvorby tieňov okolo končeka prstov, keď narazia na dotykovú obrazovku, spolu s ďalšími technikami počítačového videnia. Na mapovanie odbočiek používajú planárnu homografiu a referenčný obrázok softvérovej klávesnice použitej na zariadení obetí.

Technická náročnosť je skutočne pozoruhodná. Yue vysvetlil, ako on a jeho tím mohli pomocou rôznych techník vizuálneho spracovania s väčšou a väčšou presnosťou určiť polohu prsta obete na obrazovke. Napríklad rôzne osvetlenie častí prsta obete pomohlo určiť smer kohútika. Yue dokonca pozrel na odraz prsta, aby určil jeho polohu.

Jedným prekvapujúcim zistením je, že ľudia majú sklon nepohybovať sa zvyškom prstov, zatiaľ čo sa poklepajú na kód. To dávalo tímu Yue schopnosť sledovať niekoľko bodov na ruke naraz.

Viac prekvapujúce je, že tento útok bude fungovať pre akúkoľvek štandardnú konfiguráciu klávesnice, iba pre numpad.

Ako je to zlé?

Yue vysvetlil, že na zachytenie videa potrebného na určenie prístupového kódu obete je možné na blízku vzdialenosť použiť smartfóny a dokonca aj inteligentné hodinky. Webkamery fungovali o niečo lepšie a väčšiu klávesnicu iPadu bolo možné ľahko zobraziť.

Keď Yue použil videokameru, bol schopný zachytiť heslo obete až z 44 metrov. Scenár, ktorý Yue povedal, že jeho tím testoval, mal útočníka vo štvrtom poschodí budovy a cez ulicu od obete. V tejto vzdialenosti dosiahol 100 percentnú úspešnosť.

Zmena klávesnice, zmena hry

Ak to znie hrozivo, nikdy sa nebojte. Prednášajúci prišli s novou zbraňou proti ich vlastnej tvorbe: Klávesnica zvyšujúca súkromie. Táto kontextová klávesnica určuje, kedy zadávate citlivé údaje, a zobrazuje náhodnú klávesnicu pre telefóny s Androidom. Ich schéma založená na vízii vytvára určité predpoklady týkajúce sa rozloženia klávesnice. Jednoducho zmeňte klávesnicu a útok nebude fungovať.

Ďalším obmedzením útoku je znalosť zariadenia a tvar jeho klávesnice. Možno, že používatelia iPadu sa nebudú cítiť tak zle, pokiaľ ide o knock-off zariadenia.

Ak všetko, čo neznie, ako by stačilo na to, aby ste sa udržali v bezpečí, mala Yue niekoľko jednoduchých praktických rád. Navrhol zadať osobné údaje súkromne alebo jednoducho pri písaní zakryť obrazovku.