Wachtwoorden stelen met Google Glass, smartwatches, webcams, wat dan ook!

Hier bij SecurityWatch vertellen we lezers vaak dat ze hun smartphones moeten beveiligen met - minimaal - een pincode. Maar na de Black Hat van dit jaar is dat misschien genoeg meer. Nu hoeft een aanvaller alleen de toegangscode van een smartphone te stelen als een videocamera of zelfs een draagbaar apparaat zoals Google Glass.

Presentator Qinggang Yue demonstreerde de opmerkelijke nieuwe aanval van zijn team in Las Vegas. Met behulp van videobeelden beweren ze automatisch 90 procent van de toegangscodes tot negen voet van het doel te kunnen herkennen. Het is een simpel idee: verbreek de toegangscodes door te kijken naar de pers van de slachtoffers. Het verschil is dat deze nieuwe techniek veel nauwkeuriger en volledig geautomatiseerd is.

Yue begon zijn presentatie door te zeggen dat de titel kon worden gewijzigd in "mijn iPhone ziet uw wachtwoord of mijn smartwatch ziet uw wachtwoord". Alles met een camera volstaat, maar wat er op het scherm staat, hoeft niet zichtbaar te zijn.

Vinger staren

Om tikken op het scherm te "zien", volgt het Yue-team de relatieve beweging van de vingers van slachtoffers over touchscreens met behulp van verschillende middelen. Ze beginnen met het analyseren van schaduwvorming rond de vingertop terwijl deze het aanraakscherm raakt, samen met andere computer vision-technieken. Om de kranen in kaart te brengen, gebruiken ze vlakke homografie en een referentiebeeld van het softwaretoetsenbord dat op het apparaat van het slachtoffer wordt gebruikt.

De technische verfijning hiervan is echt opmerkelijk. Yue legde uit hoe hij en zijn team met behulp van verschillende visuele verwerkingstechnieken de positie van de vinger van het slachtoffer over het scherm met steeds grotere nauwkeurigheid konden bepalen. Bijvoorbeeld, de verschillende belichting van delen van de vinger van het slachtoffer hielp bij het bepalen van de richting van de tik. Yue keek zelfs naar de weerspiegeling van de vinger om zijn positie te bepalen.

Een verrassende bevinding is dat mensen de neiging hebben om de rest van hun vingers niet te bewegen terwijl ze een code intoetsen. Dit gaf het team van Yue de mogelijkheid om meerdere punten tegelijk in de hand te volgen.

Verrassend is dat deze aanval werkt voor elke standaard toetsenbordconfiguratie, alleen een numpad.

Hoe slecht is het?

Yue legde uit dat op korte afstand smartphones en zelfs slimme horloges kunnen worden gebruikt om de video vast te leggen die nodig is om de toegangscode van een slachtoffer te bepalen. Webcams werkten iets beter en het grotere toetsenbord van de iPad was heel gemakkelijk te bekijken.

Toen Yue een camcorder gebruikte, kon hij het wachtwoord van het slachtoffer tot op 44 meter afstand vastleggen. Het scenario, waarvan Yue zei dat zijn team het had getest, had een aanvaller met een camcorder op de vierde verdieping van een gebouw en aan de overkant van het slachtoffer. Op deze afstand behaalde hij een succespercentage van 100 procent.

Verander het toetsenbord, verander het spel

Als dit angstaanjagend klinkt, wees dan niet bang. De presentatoren kwamen met een nieuw wapen tegen hun eigen creatie: het Privacy Enhancing Keyboard. Dit contextbewuste toetsenbord bepaalt wanneer u gevoelige gegevens invoert en geeft een willekeurig toetsenbord weer voor Android-telefoons. Hun op visie gebaseerde schema maakt bepaalde veronderstellingen over de toetsenbordindeling. Verander eenvoudig het toetsenbord en de aanval zal niet werken.

Een andere beperking van de aanval is kennis van het apparaat en de vorm van het toetsenbord. Misschien zullen iPad-gebruikers zich niet zo slecht voelen over knock-off-apparaten.

Als dat allemaal niet klinkt alsof het genoeg is om jezelf veilig te houden, had Yue een eenvoudig, praktisch advies. Hij stelde voor persoonlijke informatie privé in te voeren, of gewoon je scherm te bedekken tijdens het typen.