在SecurityWatch,我们经常告诉读者,他们需要使用PIN码(至少是PIN码)来保护智能手机的安全。 但是在今年的黑帽大会之后,这可能已经足够了。 现在,攻击者只需窃取摄像机或什至是可穿戴设备(例如Google Glass),即可窃取智能手机密码。
主持人岳庆刚展示了他的团队在拉斯维加斯的非凡新攻击。 他们声称使用录像带能够自动识别距目标9英尺远的90%的通行证。 这是一个简单的想法:通过查看受害者的新闻来破坏密码。 不同之处在于,这项新技术更加准确且完全自动化。
岳开始演讲时说,标题可以更改为“我的iPhone看到您的密码,或者我的智能手表看到您的密码”。 带有相机的任何东西都可以完成这项工作,但是屏幕上的内容不需要是可见的。
手指凝视
为了“看到”屏幕上的轻敲,Yue的团队使用多种方式在触摸屏上跟踪受害者手指的相对运动。 他们首先分析指尖撞击触摸屏时在其周围形成的阴影,以及其他计算机视觉技术。 为了绘制分接头,他们使用平面单应性和受害者设备上使用的软件键盘的参考图像。
一个令人惊讶的发现是,人们在敲入代码时往往不会动动其余的手指。 这使岳的团队能够一次跟踪手上的多个点。
更令人吃惊的是,这种攻击将适用于任何标准键盘配置,仅适用于数字键盘。
有多糟糕?
岳解释说,在近距离,可以使用智能手机甚至是智能手表来捕获确定受害者密码所需的视频。 网络摄像头效果略好,而且iPad的较大键盘非常易于查看。
岳悦使用便携式摄录机时,可以从最远44米处捕获受害者的密码。 岳说,他的团队对该场景进行了测试,在建筑物的四层,与受害者隔街相望,有一个携带摄像机的袭击者。 在这个距离上,他取得了100%的成功率。
更换键盘,更改游戏
如果这听起来很可怕,请不要害怕。 演示者带来了反对他们自己创作的新武器:隐私增强键盘。 此上下文感知键盘确定您何时输入敏感数据,并显示用于Android手机的随机键盘。 他们基于视觉的方案对键盘布局做出了某些假设。 只需更换键盘,攻击就不会起作用。
攻击的另一个局限性是对设备及其键盘形状的了解。 也许iPad用户不会对仿冒设备感到不舒服。
如果听起来不足以保证自己的安全,Yue则提供了一些简单实用的建议。 他建议私下输入个人信息,或者在键入时仅遮盖屏幕。