Mencuri kata sandi dengan google glass, jam tangan pintar, web cams, apa pun!

Di sini, di SecurityWatch, kami sering memberi tahu pembaca bahwa mereka perlu menjaga keamanan ponsel mereka dengan - minimal - kode PIN. Tetapi setelah Black Hat tahun ini, itu mungkin sudah cukup lagi. Sekarang semua penyerang perlu mencuri kode sandi ponsel cerdas adalah kamera video, atau bahkan perangkat yang dapat dipakai seperti Google Glass.

Presenter Qinggang Yue mendemonstrasikan serangan baru timnya yang luar biasa di Las Vegas. Menggunakan rekaman video, mereka mengklaim dapat mengenali secara otomatis 90 persen passode hingga sembilan kaki dari target. Itu ide yang sederhana: pecahkan kode sandi dengan menonton apa yang pers korban. Perbedaannya adalah bahwa teknik baru ini jauh lebih akurat, dan sepenuhnya otomatis.

Yue memulai presentasinya dengan mengatakan bahwa judulnya dapat diubah menjadi, "iPhone saya melihat kata sandi Anda atau jam tangan pintar saya melihat kata sandi Anda." Apa pun dengan kamera akan melakukan pekerjaan, tetapi apa yang ada di layar tidak perlu terlihat.

Menatap dengan jari

Untuk "melihat" ketukan di layar, tim Yue melacak gerakan relatif jari korban di atas layar sentuh menggunakan berbagai cara. Mereka mulai dengan menganalisis pembentukan bayangan di sekitar ujung jari saat menyentuh layar sentuh, bersama dengan teknik penglihatan komputer lainnya. Untuk memetakan keran, mereka menggunakan homografi planar dan gambar referensi dari keyboard perangkat lunak yang digunakan pada perangkat korban.

Kecanggihan teknis ini sangat luar biasa. Yue menjelaskan bagaimana menggunakan berbagai teknik pemrosesan visual, ia dan timnya dapat menentukan posisi jari korban di atas layar dengan akurasi yang lebih besar dan lebih besar. Misalnya, pencahayaan yang berbeda pada bagian jari korban membantu menentukan arah keran. Yue bahkan melihat refleksi jari untuk menentukan posisinya.

Satu temuan mengejutkan adalah bahwa orang cenderung tidak menggerakkan sisa jari mereka saat mengetuk kode. Ini memberi tim Yue kemampuan untuk melacak beberapa poin di tangan sekaligus.

Yang lebih mengejutkan adalah bahwa serangan ini akan bekerja untuk konfigurasi keyboard standar apa pun, hanya numpad.

Seberapa buruk?

Yue menjelaskan bahwa dari jarak dekat, ponsel cerdas dan bahkan jam tangan pintar dapat digunakan untuk menangkap video yang diperlukan untuk menentukan kode sandi korban. Webcam bekerja sedikit lebih baik, dan keyboard iPad yang lebih besar sangat mudah dilihat.

Ketika Yue menggunakan camcorder, ia dapat menangkap kata sandi korban hingga 44 meter. Skenario, yang Yue katakan diuji oleh timnya, memiliki seorang penyerang dengan camcorder di lantai empat sebuah gedung dan di seberang jalan dari korban. Pada jarak ini, ia mencapai tingkat keberhasilan 100 persen.

Ubah Keyboard, Ubah Game

Jika ini terdengar menakutkan, jangan pernah takut. Para presenter datang dengan senjata baru melawan kreasi mereka sendiri: Keyboard Penambah Privasi. Keyboard yang sadar konteks ini menentukan kapan Anda memasukkan data sensitif dan menampilkan keyboard acak untuk ponsel Android. Skema berbasis visi mereka membuat asumsi tertentu tentang tata letak keyboard. Cukup ganti keyboard, dan serangan itu tidak akan berhasil.

Keterbatasan lain dari serangan itu adalah pengetahuan tentang perangkat dan bentuk keyboard-nya. Mungkin pengguna iPad tidak akan merasa begitu buruk tentang perangkat tiruan.

Jika semua itu kedengarannya tidak cukup untuk membuat Anda tetap aman, Yue memiliki beberapa saran praktis dan sederhana. Dia menyarankan memasukkan informasi pribadi secara pribadi, atau cukup menutupi layar Anda saat mengetik.