Video: Using Google Glass to steal passwords (Nobyembre 2024)
Dito sa SecurityWatch, madalas naming sabihin sa mga mambabasa na kailangan nilang panatilihing ligtas ang kanilang mga smartphone - sa minimum - isang code ng PIN. Ngunit pagkatapos ng Black Hat ngayong taon, maaaring sapat na iyon. Ngayon lahat ng isang umaatake ay kailangang magnakaw ng isang passcode ng smartphone ay isang video camera, o kahit na isang naisusuot na aparato tulad ng Google Glass.
Ipinakita ng Presenter Qinggang Yue ang pambihirang bagong pag-atake ng kanyang koponan sa Las Vegas. Gamit ang footage ng video, inaangkin nilang awtomatikong makilala ang 90 porsyento ng mga passode hanggang sa siyam na talampakan mula sa target. Ito ay isang simpleng ideya: masira ang mga passcode sa pamamagitan ng panonood ng kung ano ang pindutin ng mga biktima. Ang pagkakaiba ay ang bagong pamamaraan na ito ay mas tumpak, at ganap na awtomatiko.
Sinimulan ni Yue ang kanyang pagtatanghal sa pamamagitan ng pagsasabi na ang pamagat ay maaaring mabago sa, "Nakita ng aking iphone ang iyong password o nakikita ng aking smartwatch ang iyong password." Ang anumang bagay na may camera ay gagawa ng trabaho, ngunit kung ano ang nasa screen ay hindi dapat makita.
Finger Gazing
Upang "makita" ang mga tap sa screen, sinusubaybayan ng koponan ng Yue ang kamag-anak na paggalaw ng mga daliri ng mga biktima sa mga touchscreens gamit ang iba't ibang paraan. Nagsisimula sila sa pamamagitan ng pag-aaral ng pagbuo ng anino sa paligid ng daliri habang tinatamaan nito ang touch screen, kasama ang iba pang mga diskarte sa paningin ng computer. Upang i-mapa ang mga gripo, gumagamit sila ng planar homograpiya at isang sanggunian na imahe ng software keyboard na ginamit sa aparato ng mga biktima.
Ang isang nakakagulat na paghahanap ay ang mga tao ay may posibilidad na hindi ilipat ang natitirang bahagi ng kanilang mga daliri habang nag-tap sa isang code. Nagbigay ito sa koponan ni Yue ng kakayahang subaybayan ang ilang mga puntos nang sabay-sabay.
Ang higit pang nakagugulat na ang pag-atake na ito ay gagana para sa anumang karaniwang pagsasaayos ng keyboard, isang sakay lamang.
Gaano kalala iyan?
Ipinaliwanag ni Yue na sa malapit na hanay, ang mga smartphone at kahit na mga matalinong relo ay maaaring magamit upang makuha ang video na kinakailangan upang matukoy ang passcode ng isang biktima. Ang mga webcam ay nagtrabaho nang bahagya nang mas mahusay, at ang mas malaking keyboard ng iPad ay napakadaling tingnan.
Nang gumamit ng camcorder si Yue, nagawa niyang makuha ang password ng biktima mula sa hanggang 44 metro ang layo. Ang senaryo, na sinabi ni Yue na sinubukan ng kanyang koponan, ay may isang attacker na may camcorder sa ika-apat na palapag ng isang gusali at sa buong kalye mula sa biktima. Sa layo na ito, nakamit niya ang isang 100 porsiyento na rate ng tagumpay.
Baguhin ang Keyboard, Baguhin ang Laro
Kung ito ay nakakatakot, huwag matakot. Ang mga nagtatanghal ay dumating gamit ang isang bagong sandata laban sa kanilang sariling likha: ang Pagpapahusay ng Patakaran sa Pagkapribado. Tinutukoy ng keyboard na may kamalayan sa konteksto kapag nagpasok ka ng sensitibong data at ipinapakita ang isang randomized na keyboard para sa mga teleponong Android. Ang kanilang paningin batay sa paningin ay gumagawa ng ilang mga pagpapalagay tungkol sa layout ng keyboard. Baguhin lamang ang keyboard, at ang pag-atake ay hindi gagana.
Ang isa pang limitasyon ng pag-atake ay ang kaalaman sa aparato at ang hugis ng keyboard nito. Marahil ay hindi masasama ang mga gumagamit ng iPad tungkol sa mga aparato ng pag-knock-off.
Kung ang lahat na hindi tulad ng sapat na ito upang mapanatili ang iyong sarili na ligtas, si Yue ay mayroong ilang simple, praktikal na payo. Iminungkahi niya ang pagpasok ng personal na impormasyon nang pribado, o simpleng sumasaklaw sa iyong screen habang nagta-type.
