Stjæle adgangskoder med google glas, smartwatches, web cams, uanset hvad!

Her på SecurityWatch fortæller vi ofte læserne, at de er nødt til at holde deres smartphones sikre med - som minimum - en PIN-kode. Men efter dette års Black Hat er det måske nok mere. Nu skal alt, hvad angriberen har for at stjæle en smartphone-adgangskode, være et videokamera eller endda en bærbar enhed som Google Glass.

Presentator Qinggang Yue demonstrerede sit holds bemærkelsesværdige nye angreb i Las Vegas. Ved hjælp af videofilm hævder de at være i stand til automatisk at genkende 90 procent af passoder op til ni meter fra målet. Det er en simpel idé: bryde adgangskoder ved at se, hvad ofrenes presse. Forskellen er, at denne nye teknik er meget mere nøjagtig og fuldt automatiseret.

Yue startede sin præsentation med at sige, at titlen kunne ændres til, "min iphone ser din adgangskode, eller min smartwatch ser din adgangskode." Alt med et kamera gør jobbet, men hvad der er på skærmen behøver ikke at være synlig.

Finger stirrer

For at "se" haner på skærmen sporer Yues team den relative bevægelse af ofrenes fingre over berøringsskærme ved hjælp af forskellige måder. De starter med at analysere skyggedannelse omkring fingerspidsen, når den rammer berøringsskærmen sammen med andre computersynsteknikker. For at kortlægge vandhanerne bruger de plane homografi og et referencebillede af softwaretastaturet, der bruges på ofrenes enhed.

Den tekniske raffinement af dette er virkelig bemærkelsesværdig. Yue forklarede, hvordan han og hans team ved hjælp af forskellige visuelle behandlingsteknikker kunne bestemme offerets finger over skærmen med større og større nøjagtighed. For eksempel hjalp den forskellige belysning af dele af offerets finger med at bestemme hanens retning. Yue kiggede endda på fingerens refleksion for at bestemme dens position.

Et overraskende fund er, at folk har en tendens til ikke at bevæge sig resten af ​​fingrene, mens de trykker på en kode. Dette gav Yues team evnen til at spore flere point på hånden på en gang.

Mere overraskende er, at dette angreb fungerer for enhver standard tastaturkonfiguration, bare en numpad.

Hvor dårligt er det?

Yue forklarede, at på kort afstand kunne smartphones og endda smarture bruges til at fange den video, der er nødvendig for at bestemme et offer's adgangskode. Webkameraer fungerede lidt bedre, og iPadens større tastatur var meget let at se.

Da Yue brugte et videokamera, var han i stand til at fange offerets adgangskode fra op til 44 meter væk. Scenariet, som Yue sagde, at hans team testede, havde en angriber med et videokamera på fjerde etage i en bygning og på tværs af gaden fra offeret. På denne afstand opnåede han en succesrate på 100 procent.

Skift tastaturet, ændre spillet

Hvis dette lyder skræmmende, skal du aldrig frygte. Præsentanterne kom med et nyt våben mod deres egen skabelse: tastaturet til forbedring af privatlivets fred. Dette kontekstbevidste tastatur bestemmer, hvornår du indtaster følsomme data og viser et tilfældigt tastatur til Android-telefoner. Deres visionbaserede skema gør visse antagelser om tastaturlayout. Skift blot tastaturet, så angrebet fungerer ikke.

En anden begrænsning af angrebet er viden om enheden og formen på dens tastatur. Måske føler iPad-brugere sig ikke så dårlige ved knock-off-enheder.

Hvis alt det ikke lyder som det er nok til at holde dig sikker, havde Yue nogle enkle, praktiske råd. Han foreslog at indtaste personlige oplysninger privat, eller blot at dække din skærm, mens du skriver.