ขโมยรหัสผ่านด้วย google glass, smartwatches, web cams, อะไรก็ตาม!

ที่ SecurityWatch เรามักจะบอกผู้อ่านว่าพวกเขาจำเป็นต้องรักษาความปลอดภัยของสมาร์ทโฟนด้วยรหัส PIN อย่างน้อยที่สุด แต่หลังจาก Black Hat ปีนี้อาจจะเพียงพออีกต่อไป ตอนนี้ผู้โจมตีทั้งหมดต้องขโมยรหัสผ่านสมาร์ทโฟนคือกล้องวิดีโอหรือแม้แต่อุปกรณ์ที่สวมใส่ได้เช่น Google Glass

ผู้นำเสนอ Qinggang Yue แสดงให้เห็นถึงการโจมตีครั้งใหม่ของทีมในลาสเวกัส ใช้วิดีโอวิดีโอพวกเขาอ้างว่าสามารถรับรู้รหัสผ่าน 90 เปอร์เซ็นต์โดยอัตโนมัติถึงเก้าฟุตจากเป้าหมาย มันเป็นความคิดที่ง่าย: ทำลายรหัสผ่านโดยดูจากสิ่งที่เหยื่อกด ความแตกต่างคือเทคนิคใหม่นี้มีความแม่นยำและอัตโนมัติมากขึ้น

Yue เริ่มต้นการนำเสนอของเขาโดยบอกว่าชื่อสามารถเปลี่ยนเป็น "iphone ของฉันเห็นรหัสผ่านของคุณหรือสมาร์ทวอทช์ของฉันเห็นรหัสผ่านของคุณ" อะไรก็ตามที่มีกล้องจะทำงาน แต่สิ่งที่อยู่บนหน้าจอไม่จำเป็นต้องมองเห็นได้

นิ้วจ้อง

เมื่อต้องการ "ดู" การแตะบนหน้าจอทีมของ Yue ติดตามการเคลื่อนไหวของนิ้วของเหยื่อบนหน้าจอสัมผัสโดยใช้วิธีการที่หลากหลาย พวกเขาเริ่มต้นด้วยการวิเคราะห์การก่อตัวของเงารอบ ๆ ปลายนิ้วขณะที่สัมผัสหน้าจอพร้อมกับเทคนิคการมองเห็นคอมพิวเตอร์อื่น ๆ ในการจับแผนที่ก๊อกน้ำพวกเขาใช้ภาพถ่ายแท่งแบนราบและรูปภาพอ้างอิงของแป้นพิมพ์ซอฟต์แวร์ที่ใช้กับอุปกรณ์ของผู้ที่ตกเป็นเหยื่อ

ความซับซ้อนทางเทคนิคของสิ่งนี้ช่างน่าทึ่งจริงๆ Yue อธิบายว่าด้วยการใช้เทคนิคการประมวลผลด้วยภาพที่หลากหลายเขาและทีมของเขาสามารถระบุตำแหน่งของนิ้วเหยื่อบนหน้าจอได้อย่างแม่นยำและแม่นยำยิ่งขึ้น ตัวอย่างเช่นแสงที่แตกต่างกันของส่วนต่าง ๆ ของนิ้วของเหยื่อช่วยกำหนดทิศทางของการแตะ หยูมองที่การสะท้อนของนิ้วเพื่อกำหนดตำแหน่งของมัน

การค้นพบที่น่าแปลกใจอย่างหนึ่งก็คือผู้คนมักจะไม่ขยับนิ้วมือที่เหลือในขณะที่แตะรหัส สิ่งนี้ทำให้ทีมของ Yue สามารถติดตามคะแนนได้หลายอย่างพร้อมกัน

สิ่งที่น่าตกใจกว่าคือการโจมตีนี้จะใช้ได้กับการกำหนดค่าแป้นพิมพ์มาตรฐานใด ๆ ก็ตาม

มันแย่แค่ไหน?

Yue อธิบายว่าในระยะใกล้สมาร์ทโฟนและแม้กระทั่งนาฬิกาอัจฉริยะสามารถใช้ในการจับภาพวิดีโอที่จำเป็นเพื่อกำหนดรหัสผ่านของเหยื่อ เว็บแคมทำงานได้ดีขึ้นเล็กน้อยและคีย์บอร์ดขนาดใหญ่ของ iPad นั้นดูง่ายมาก

เมื่อเยว่ใช้กล้องวิดีโอเขาสามารถจับรหัสผ่านของเหยื่อได้จากระยะไกลสูงสุด 44 เมตร สถานการณ์ซึ่งเยว่กล่าวว่าทีมของเขาทดสอบได้มีผู้โจมตีด้วยกล้องถ่ายวิดีโอที่ชั้นสี่ของอาคารและฝั่งตรงข้ามจากเหยื่อ ในระยะนี้เขาประสบความสำเร็จในอัตราร้อยละ 100

เปลี่ยนคีย์บอร์ดเปลี่ยนเกม

หากสิ่งนี้ฟังดูน่ากลัวอย่ากลัวเลย ผู้นำเสนอมาพร้อมกับอาวุธใหม่ต่อการสร้างของพวกเขาเอง: แป้นเพิ่มความเป็นส่วนตัว แป้นพิมพ์ที่รับรู้บริบทนี้จะกำหนดเมื่อคุณป้อนข้อมูลที่ละเอียดอ่อนและแสดงแป้นพิมพ์แบบสุ่มสำหรับโทรศัพท์ Android รูปแบบการมองเห็นของพวกเขาทำให้สมมติฐานบางอย่างเกี่ยวกับรูปแบบแป้นพิมพ์ เพียงเปลี่ยนคีย์บอร์ดและการโจมตีจะไม่ทำงาน

ข้อ จำกัด อีกประการของการโจมตีคือความรู้เกี่ยวกับอุปกรณ์และรูปร่างของแป้นพิมพ์ บางทีผู้ใช้ iPad จะไม่รู้สึกแย่เกี่ยวกับอุปกรณ์ที่ทำให้ล้มลง

หากสิ่งที่ดูเหมือนไม่เพียงพอที่จะให้ตัวเองปลอดภัยยูก็มีคำแนะนำง่ายๆ เขาแนะนำให้ป้อนข้อมูลส่วนบุคคลแบบส่วนตัวหรือคลุมหน้าจอของคุณขณะพิมพ์