Å stjele passord med google glass, smartwatches, web cams, hva enn!

Her på SecurityWatch forteller vi leserne ofte at de trenger å holde smarttelefonene sikre med - minst - en PIN-kode. Men etter årets Black Hat, kan det være nok lenger. Nå trenger alt en angriper for å stjele en smarttelefonkode, et videokamera, eller til og med en bærbar enhet som Google Glass.

Presentator Qinggang Yue demonstrerte lagets bemerkelsesverdige nye angrep i Las Vegas. Ved hjelp av videoopptak hevder de å være i stand til automatisk å gjenkjenne 90 prosent av passoder opp til ni meter fra målet. Det er en enkel ide: bryte passord ved å se hva ofrenes presse. Forskjellen er at denne nye teknikken er mye mer nøyaktig og helautomatisert.

Yue startet presentasjonen sin med å si at tittelen kunne endres til, "min iPhone ser passordet ditt, eller smartklokken ser passordet ditt." Alt med kamera vil gjøre jobben, men det som er på skjermen trenger ikke å være synlig.

Finger Gazing

For å "se" kraner på skjermen, sporer Yues team den relative bevegelsen til ofrenes fingre over berøringsskjermer ved hjelp av en rekke midler. De starter med å analysere skyggedannelse rundt fingertuppene når den treffer berøringsskjermen, sammen med andre datateknikker. For å kartlegge kranene bruker de plane homografi og et referansebilde av programvaretastaturet som brukes på ofrenes enhet.

Den tekniske raffinementen til dette er virkelig bemerkelsesverdig. Yue forklarte hvordan han og teamet hans kunne bruke en rekke visuelle prosesseringsteknikker til å bestemme plasseringen av offerets finger over skjermen med større og større nøyaktighet. For eksempel hjalp den forskjellige belysningen av deler av offerets finger med å bestemme retningen på springen. Yue så til og med på fingerens refleksjon for å bestemme posisjonen.

Et overraskende funn er at folk har en tendens til å ikke bevege resten av fingrene mens de tapper inn en kode. Dette ga Yues team muligheten til å spore flere poeng på hånden på en gang.

Mer oppsiktsvekkende er at dette angrepet fungerer for alle standard tastaturkonfigurasjoner, bare en numpad.

Hvor ille er det?

Yue forklarte at på nært hold kunne smarttelefoner og til og med smarte klokker brukes til å fange videoen som er nødvendig for å bestemme et offers passord. Webkameraer fungerte litt bedre, og det større tastaturet på iPad var veldig lett å se.

Da Yue brukte et videokamera, var han i stand til å fange offerets passord fra opptil 44 meter unna. Scenariet, som Yue sa at teamet hans testet, hadde en angriper med et videokamera i fjerde etasje i en bygning og over gaten fra offeret. På denne distansen oppnådde han en suksessrate på 100 prosent.

Endre tastaturet, endre spillet

Hvis dette høres skremmende ut, aldri frykt. Presentatørene kom med et nytt våpen mot sin egen skapelse: Privacy Enhancing Keyboard. Dette kontekstbevisste tastaturet bestemmer når du legger inn sensitive data og viser et tilfeldig tastatur for Android-telefoner. Deres visjonsbaserte skjema gjør visse antagelser om tastaturlayout. Bare bytt tastatur, så angrepet vil ikke fungere.

En annen begrensning av angrepet er kunnskap om enheten og formen på tastaturet. Kanskje iPad-brukere ikke vil føle seg så ille med knock-off-enheter.

Hvis alt det ikke høres ut som det er nok til å holde deg trygg, hadde Yue noen enkle, praktiske råd. Han foreslo å legge inn personlig informasjon privat, eller bare dekke skjermen mens du skrev.