Roubando senhas com o google glass, smartwatches, web cams, qualquer que seja!

Aqui no SecurityWatch, costumamos dizer aos leitores que eles precisam manter seus smartphones seguros com, no mínimo, um código PIN. Mas após o Black Hat deste ano, isso pode ser o suficiente. Agora, tudo o que um invasor precisa roubar uma senha de smartphone é uma câmera de vídeo ou mesmo um dispositivo vestível como o Google Glass.

O apresentador Qinggang Yue demonstrou o notável novo ataque de sua equipe em Las Vegas. Usando imagens de vídeo, eles afirmam ser capazes de reconhecer automaticamente 90% dos senhas a até três metros do alvo. É uma idéia simples: quebrar códigos, observando o que as vítimas pressionam. A diferença é que essa nova técnica é muito mais precisa e totalmente automatizada.

Yue começou sua apresentação dizendo que o título poderia ser alterado para "meu iphone vê sua senha ou meu smartwatch vê sua senha". Qualquer coisa com uma câmera fará o trabalho, mas o que está na tela não precisa estar visível.

Finger Gazing

Para "ver" toques na tela, a equipe de Yue acompanha o movimento relativo dos dedos das vítimas sobre as telas sensíveis ao toque, usando uma variedade de meios. Eles começam analisando a formação de sombras ao redor da ponta do dedo, quando ela atinge a tela de toque, juntamente com outras técnicas de visão por computador. Para mapear as torneiras, eles usam homografia plana e uma imagem de referência do teclado do software usado no dispositivo das vítimas.

A sofisticação técnica disso é realmente notável. Yue explicou como, usando uma variedade de técnicas de processamento visual, ele e sua equipe foram capazes de determinar a posição do dedo da vítima sobre a tela com uma precisão cada vez maior. Por exemplo, a iluminação diferente de partes do dedo da vítima ajudou a determinar a direção da torneira. Yue até olhou para o reflexo do dedo para determinar sua posição.

Uma descoberta surpreendente é que as pessoas tendem a não mexer o resto dos dedos enquanto digitam um código. Isso deu à equipe de Yue a capacidade de rastrear vários pontos na mão ao mesmo tempo.

O mais surpreendente é que esse ataque funcionará para qualquer configuração de teclado padrão, apenas um teclado numérico.

Quão ruim é isso?

Yue explicou que, de perto, smartphones e até relógios inteligentes poderiam ser usados ​​para capturar o vídeo necessário para determinar a senha da vítima. As webcams funcionaram um pouco melhor e o teclado maior do iPad foi muito fácil de visualizar.

Quando Yue usou uma câmera de vídeo, ele conseguiu capturar a senha da vítima a até 44 metros de distância. O cenário, que Yue disse que sua equipe testou, tinha um atacante com uma câmera de vídeo no quarto andar de um prédio e do outro lado da rua, em frente à vítima. A essa distância, ele alcançou uma taxa de sucesso de 100%.

Mude o teclado, mude o jogo

Se isso soa assustador, nunca tema. Os apresentadores vieram com uma nova arma contra sua própria criação: o Privacy Enhancing Keyboard. Este teclado sensível ao contexto determina quando você está inserindo dados confidenciais e exibe um teclado aleatório para telefones Android. Seu esquema baseado em visão faz certas suposições sobre o layout do teclado. Simplesmente mude o teclado e o ataque não funcionará.

Outra limitação do ataque é o conhecimento do dispositivo e a forma do seu teclado. Talvez os usuários do iPad não se sintam tão mal com os dispositivos imitadores.

Se tudo isso não parece suficiente para se manter seguro, Yue teve alguns conselhos simples e práticos. Ele sugeriu inserir informações pessoais em particular ou simplesmente cobrir sua tela enquanto digitava.