Voler des mots de passe avec Google Glass, smartwatches, webcams, peu importe!

Chez SecurityWatch, nous disons souvent aux lecteurs qu’ils doivent protéger leurs smartphones avec, au minimum, un code PIN. Mais après le Black Hat de cette année, cela pourrait suffire davantage. Désormais, il suffit à un attaquant de voler un code secret pour un smartphone: une caméra vidéo, voire un périphérique portable tel que Google Glass.

Le présentateur Qinggang Yue a présenté la nouvelle attaque remarquable de son équipe à Las Vegas. À l'aide de séquences vidéo, ils affirment être en mesure de reconnaître automatiquement 90% des codes d'accès à une distance maximale de neuf pieds de la cible. C'est une idée simple: casser les codes en observant la presse des victimes. La différence est que cette nouvelle technique est beaucoup plus précise et entièrement automatisée.

Yue a commencé sa présentation en disant que le titre pourrait être changé en "mon iphone voit ton mot de passe ou ma smartwatch voit ton mot de passe". N'importe quoi avec une caméra fera l'affaire, mais ce qui est affiché à l'écran n'a pas besoin d'être visible.

Regarder les doigts

Pour "voir" des clics sur l'écran, l'équipe de Yue suit le mouvement relatif des doigts des victimes sur les écrans tactiles à l'aide de divers moyens. Ils commencent par analyser la formation d'ombres autour du doigt au contact de l'écran tactile, ainsi que d'autres techniques de vision par ordinateur. Pour cartographier les taps, ils utilisent une homographie planaire et une image de référence du clavier logiciel utilisé sur le périphérique de la victime.

La sophistication technique de ceci est vraiment remarquable. Yue a expliqué comment, en utilisant diverses techniques de traitement visuel, lui et son équipe ont été en mesure de déterminer la position du doigt de la victime sur l'écran avec une précision de plus en plus grande. Par exemple, l’éclairage différent de certaines parties du doigt de la victime a permis de déterminer la direction du robinet. Yue a même regardé la réflexion du doigt pour déterminer sa position.

Une découverte surprenante est que les gens ont tendance à ne pas bouger le reste de leurs doigts lorsqu'ils tapent un code. Cela a donné à l'équipe de Yue la possibilité de suivre plusieurs points en même temps.

Plus surprenant, cette attaque fonctionnera pour toute configuration de clavier standard, juste un pavé numérique.

Comment est-il mauvais?

Yue a expliqué que de près, les smartphones et même les montres intelligentes pourraient être utilisés pour capturer la vidéo nécessaire à la détermination du code secret de la victime. Les webcams fonctionnaient légèrement mieux et le clavier plus grand de l'iPad était très facile à visualiser.

Lorsque Yue a utilisé un caméscope, il a été capable de capturer le mot de passe de la victime à une distance allant jusqu'à 44 mètres. Le scénario, que Yue a déclaré à son équipe, impliquait un attaquant avec un caméscope au quatrième étage d'un immeuble et en face de la victime. À cette distance, il a atteint un taux de réussite de 100%.

Changer le clavier, changer le jeu

Si cela semble terrifiant, ne craignez rien. Les présentateurs sont venus avec une nouvelle arme contre leur propre création: le clavier optimisant la confidentialité. Ce clavier contextuel détermine le moment où vous entrez des données sensibles et affiche un clavier aléatoire pour les téléphones Android. Leur schéma basé sur la vision fait certaines hypothèses sur la disposition du clavier. Il suffit de changer le clavier et l'attaque ne fonctionnera pas.

Une autre limite de l'attaque est la connaissance de l'appareil et de la forme de son clavier. Peut-être que les utilisateurs d'iPad ne se sentiront pas si mal à propos des appareils knock-off.

Si tout cela ne vous semble pas suffisant pour assurer votre sécurité, Yue avait quelques conseils simples et pratiques. Il a suggéré de saisir des informations personnelles en privé ou de simplement couvrir votre écran lors de la frappe.