WhiteHat News #ID:1368
WhiteHat Support
-
04/06/2014
-
0
-
110 bài viết
Đánh cắp password bằng Google Glass, smartphone
Các nhà nghiên cứu an ninh mạng vừa công bố một cách thức mới đánh cắp mật khẩu trên thiết bị di động của người dùng một cách đơn giản bất ngờ. Bằng một chiếc camera hay thiết bị như Google Glass, kẻ tấn công có thể ghi lại mật khẩu mà người dùng gõ vào điện thoại với độ chính xác đến 90% từ khoảng cách 3 mét.
Trong bài thuyết trình tại hội nghị Blackhat đang diễn ra tại Las Vegas, Mỹ, nhà nghiên cứu Qinggang Yue và nhóm của ông đã biểu diễn kỹ thuật ghi lại chuyển động tương đối của ngón tay trên màn hình điện thoại để suy ra nội dung người dùng gõ. Kỹ thuật bắt đầu bằng việc phân tính hình dạng bóng quanh đầu ngón tay khi chạm màn hình, cùng các thuật toán hình ảnh. Để vẽ ra đường đi chuyển của ngón tay, nhóm sử dụng phương pháp ánh xạ hai chiều và mô phỏng bàn phím trên thiết bị của nạn nhân.
Độ phức tạp trong kỹ thuật này là rất đáng chú ý. Nhóm nghiên cứu đã trình bày một loạt các kỹ thuật phân tích hình ảnh để xác định vị trí của ngón tay trên màn hình điện thoại với độ chính xác ngày càng cao. Ví dụ, cách đổ bóng ánh sáng trên các phần của ngón tay có thể giúp xác định hướng của động tác gõ; hay thậm chí là sự phản chiếu của ngón tay trên màn hình cũng được đưa vào phân tích.
Một phát hiện đáng chú ý là người dùng chỉ dùng 1 ngón tay để gõ trên điện thoại và giữ các bộ phận còn lại bất động. Điều này cho phép kỹ thuật tấn công theo dõi nhiều điểm trên tay cùng một lúc. Nhóm nghiên cứu tuyên bố kỹ thuật của họ có thể áp dụng với bất cứ bàn phím tiêu chuẩn nào.
Trong khoảng cách gần, smartphone và thậm chí là các thiết bị smart watch (đồng hồ thông minh) đều có thể ghi lại đoạn video cần thiết để phân tích ra password của người dùng. Với một chiếc máy quay camera, nhóm thậm chí còn có thể lấy được password của người dùng từ khoảng cách 44 mét, tức là tương đương từ tầng bốn một tòa nhà nhìn xuống đường, với tỉ lệ chính xác 100%.
Để đối phó với nguy cơ này, nhóm nghiên cứu đã phát minh ra một công cụ có tên “Bàn phím bảo vệ riêng tư”. Bàn phím này có khả năng nhận biết ngữ cảnh và phán đoán khi nào người dùng sẽ nhập các dữ liệu nhạy cảm, sau đó hiển thị các ký tự ở vị trí ngẫu nhiên. Kỹ thuật tấn công bằng hình ảnh dựa vào giả định về thiết kế bàn phím như thông thường nên sẽ vô tác dụng khi gặp phải một bàn phím ngẫu nhiên.
Một hạn chế khác của kỹ thuật tấn công này là phải có thông tin về thiết bị và hình dáng của bàn phím. Người dùng iPad có lẽ sẽ lo ngại nhiều nhất do bàn phím khá lớn của thiết bị này. Nhóm nghiên cứu cũng khuyến cáo người dùng nên nhập các thông tin nhạy cảm một cách cẩn thận hoặc đơn giản là che màn hình khi gõ.
Nguồn: SecurityWatch
Trong bài thuyết trình tại hội nghị Blackhat đang diễn ra tại Las Vegas, Mỹ, nhà nghiên cứu Qinggang Yue và nhóm của ông đã biểu diễn kỹ thuật ghi lại chuyển động tương đối của ngón tay trên màn hình điện thoại để suy ra nội dung người dùng gõ. Kỹ thuật bắt đầu bằng việc phân tính hình dạng bóng quanh đầu ngón tay khi chạm màn hình, cùng các thuật toán hình ảnh. Để vẽ ra đường đi chuyển của ngón tay, nhóm sử dụng phương pháp ánh xạ hai chiều và mô phỏng bàn phím trên thiết bị của nạn nhân.
Độ phức tạp trong kỹ thuật này là rất đáng chú ý. Nhóm nghiên cứu đã trình bày một loạt các kỹ thuật phân tích hình ảnh để xác định vị trí của ngón tay trên màn hình điện thoại với độ chính xác ngày càng cao. Ví dụ, cách đổ bóng ánh sáng trên các phần của ngón tay có thể giúp xác định hướng của động tác gõ; hay thậm chí là sự phản chiếu của ngón tay trên màn hình cũng được đưa vào phân tích.
Một phát hiện đáng chú ý là người dùng chỉ dùng 1 ngón tay để gõ trên điện thoại và giữ các bộ phận còn lại bất động. Điều này cho phép kỹ thuật tấn công theo dõi nhiều điểm trên tay cùng một lúc. Nhóm nghiên cứu tuyên bố kỹ thuật của họ có thể áp dụng với bất cứ bàn phím tiêu chuẩn nào.
Trong khoảng cách gần, smartphone và thậm chí là các thiết bị smart watch (đồng hồ thông minh) đều có thể ghi lại đoạn video cần thiết để phân tích ra password của người dùng. Với một chiếc máy quay camera, nhóm thậm chí còn có thể lấy được password của người dùng từ khoảng cách 44 mét, tức là tương đương từ tầng bốn một tòa nhà nhìn xuống đường, với tỉ lệ chính xác 100%.
Để đối phó với nguy cơ này, nhóm nghiên cứu đã phát minh ra một công cụ có tên “Bàn phím bảo vệ riêng tư”. Bàn phím này có khả năng nhận biết ngữ cảnh và phán đoán khi nào người dùng sẽ nhập các dữ liệu nhạy cảm, sau đó hiển thị các ký tự ở vị trí ngẫu nhiên. Kỹ thuật tấn công bằng hình ảnh dựa vào giả định về thiết kế bàn phím như thông thường nên sẽ vô tác dụng khi gặp phải một bàn phím ngẫu nhiên.
Một hạn chế khác của kỹ thuật tấn công này là phải có thông tin về thiết bị và hình dáng của bàn phím. Người dùng iPad có lẽ sẽ lo ngại nhiều nhất do bàn phím khá lớn của thiết bị này. Nhóm nghiên cứu cũng khuyến cáo người dùng nên nhập các thông tin nhạy cảm một cách cẩn thận hoặc đơn giản là che màn hình khi gõ.
Nguồn: SecurityWatch
Chỉnh sửa lần cuối bởi người điều hành: