Rubare password con google glass, smartwatch, webcam, qualunque cosa!

Qui a SecurityWatch, spesso diciamo ai lettori che devono proteggere i loro smartphone con almeno un codice PIN. Ma dopo il Black Hat di quest'anno, potrebbe essere più sufficiente. Ora tutto ciò che un utente malintenzionato deve rubare un passcode per smartphone è una videocamera o persino un dispositivo indossabile come Google Glass.

Il presentatore Qinggang Yue ha dimostrato il notevole nuovo attacco della sua squadra a Las Vegas. Utilizzando i filmati, affermano di essere in grado di riconoscere automaticamente il 90 percento dei passcode fino a un metro e mezzo dal bersaglio. È un'idea semplice: rompere i codici di accesso guardando ciò che stampa le vittime. La differenza è che questa nuova tecnica è molto più accurata e completamente automatizzata.

Yue ha iniziato la sua presentazione dicendo che il titolo potrebbe essere cambiato in "il mio iPhone vede la tua password o il mio smartwatch vede la tua password". Qualsiasi cosa con una fotocamera farà il lavoro, ma ciò che è sullo schermo non deve essere visibile.

Finger Gazing

Per "vedere" i tocchi sullo schermo, il team di Yue tiene traccia del movimento relativo delle dita delle vittime sui touchscreen usando una varietà di mezzi. Iniziano analizzando la formazione di ombre attorno alla punta del dito mentre colpisce il touchscreen, insieme ad altre tecniche di visione artificiale. Per mappare i rubinetti, usano l'omografia planare e un'immagine di riferimento della tastiera del software utilizzata sul dispositivo delle vittime.

La sofisticazione tecnica di questo è davvero notevole. Yue ha spiegato come usando una varietà di tecniche di elaborazione visiva, lui e il suo team sono stati in grado di determinare la posizione del dito della vittima sullo schermo con una precisione sempre maggiore. Ad esempio, la diversa illuminazione di parti del dito della vittima ha contribuito a determinare la direzione del rubinetto. Yue guardò persino il riflesso del dito per determinare la sua posizione.

Una scoperta sorprendente è che le persone tendono a non muovere il resto delle dita mentre toccano un codice. Ciò ha dato alla squadra di Yue la possibilità di tracciare diversi punti sulla mano contemporaneamente.

Più sorprendente è che questo attacco funzionerà con qualsiasi configurazione di tastiera standard, solo un tastierino numerico.

Quanto è cattivo?

Yue ha spiegato che a distanza ravvicinata, smartphone e persino orologi intelligenti potrebbero essere utilizzati per catturare il video necessario per determinare il passcode di una vittima. Le webcam funzionavano leggermente meglio e la tastiera più grande dell'iPad era molto facile da visualizzare.

Quando Yue usava una videocamera, era in grado di catturare la password della vittima fino a 44 metri di distanza. Lo scenario, che Yue ha affermato che la sua squadra ha testato, aveva un attaccante con una videocamera al quarto piano di un edificio e dall'altra parte della strada rispetto alla vittima. A questa distanza, ha raggiunto un tasso di successo del 100 percento.

Cambia la tastiera, cambia il gioco

Se questo sembra terrificante, non temere mai. I presentatori hanno presentato una nuova arma contro la propria creazione: la tastiera per il miglioramento della privacy. Questa tastiera sensibile al contesto determina quando stai inserendo dati sensibili e visualizza una tastiera casuale per telefoni Android. Il loro schema basato sulla visione fa alcune ipotesi sul layout della tastiera. Basta cambiare la tastiera e l'attacco non funzionerà.

Un'altra limitazione dell'attacco è la conoscenza del dispositivo e della forma della sua tastiera. Forse gli utenti di iPad non si sentiranno così male per i dispositivi knock-off.

Se tutto ciò non ti sembra sufficiente per tenerti al sicuro, Yue aveva dei consigli semplici e pratici. Ha suggerito di inserire informazioni personali in privato o semplicemente di coprire lo schermo durante la digitazione.