Chytré telefony a shoulder surfing attack

V jednom starším příspěvku o autentizaci jsme psali, že uživatel by měl heslo zadávat tak, aby nemohlo dojít k jeho odpozorování.

Ovšem v okamžiku, kdy zdáváte heslo do svého smartphonu nebo tabletu na veřejnosti, tak nemáte jistotu, že vaše heslo někdo neodpozoroval. Aby to případný útočník neměl tak snadné, tak se místo znaků, které uživatel zadává na klávesnici, zobrazují v políčku pro heslo zástupné symboly. S nástupem smartphonů a tabletů, které nejsou vybaveny HW klávesnicí, je nutné veškerá hesla zadávat prostřednictvím virtuální klávesnice, která se zobrazí na dotykovém displeji daného zařízení.

Z nedávno provedených výzkumů vyplynulo, že odpozorovat heslo zadávané právě prostřednictvím dotykového displeje lze mnohem snáze než v případě, kdy je stejné heslo zadáváno prostřednictvím klasické klávesnice, kterými jsou některé modely též vybaveny. Je tomu tak proto, že některé systémy jako Android nebo iOS se snaží o maximální uživatelskou přívětivost (User Experience, zkr. UX) a proto poskytují uživateli i vizuální zpětnou vazbu o tom, co bylo stisknuto, a to je problém.

Nemám teď na mysli, že některé systémy ve svém výchozím nastavení zobrazují heslo během zadávání, resp. že na malý okamžik zobrazí právě stisknutý znak, který se po chvíli změní za tečku. Na zařízení s operačním systémem Android se toto chování dá snadno změnit (Nastavení > Informace o poloze a zabezpečení > Hesla > Viditelná hesla), ovšem v iOS jsem žádnou takovou volbu nenašel. Tohle však není jediná zpětná vazba, kterou oba systémy poskytují. Oba systémy totiž podbarvují právě stisknutou klávesu přímo na virtuální klávesnici.

A právě tato vlastnost útočníkovi značně usnadňuje odpozorování hesla. A pokud se útočníkovi ještě navíc podaří pomocí kamery zachytit klávesnici resp. obrazovku uživatele, který zrovna zadává heslo, může poté použít speciální SW, který je schopen rozpoznat, které klávesy na virtuální klávesnici byly stisknuty. Vzhledem k tomu, že klávesnice má zpravidla stejné rozložení kláves, je celkem jedno, pod jakým úhlem a z jaké vzdálenosti byl záznam pořízen a jaké při tom byly světelné podmínky. Program se totiž nemusí obtěžovat s nějakým rozpoznáváním písmen. Stačí mu jen určit místo, kde došlo ke kontaktu prstu s klávesnicí nebo displejem a to prozradí právě změna barvy klávesy.

(video)

Jak takový plně automatizovaný shoulder surfing za použití speciální aplikace pro iPhone vypadá v praxi, je zachyceno na výše uvedeném videu. Aplikace shoulderPad vyžívá možností OpenCV (OpenSource Computer Vision Library), jednoduše detekuje modré objekty, jež odpovídají právě stisknutým klávesám. Pak už jen stačí v poli, ve kterém je uloženo umístění jednotlivých znaků na klávesnici, dohledat, jaký znak se nachází na dané souřadnici. Jako výchozí bod, pro správné určení souřadnic výborně poslouží bílé formulářové pole pro zadání hesla. Detailní popis, jak aplikace funguje, je uveden zde.

Závěr: Prakticky jedinou ochranou před tímto typem útoku je zadávat heslo tak, by nemohlo dojít k jeho odpozorování.


Pokud vás tento příspěvek zaujal, sdílejte ho!
Share on FacebookShare on LinkedInTweet about this on TwitterShare on Google+Email this to someonePrint this page

Štítky: ,

  1. admin

    A zde jsou výsledky dalšího zajímavého výzkumu na téma shoulder surfing.


K článku “Chytré telefony a shoulder surfing attack” se zde nachází 1 komentář.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: