Μία μέθοδο υποκλοπής κωδικών που χρησιμοποιούνται από χρήστες σε tablets και smartphones μέσω του Google Glass, αλλά και άλλων «έξυπνων» συσκευών που μπορούν να τραβήξουν βίντεο, ανέπτυξαν ερευνητές του University of Massachusetts in Lowell.
Σύμφωνα με σχετικό ρεπορτάζ του CNN, ο «υποκλοπέας» μπορεί να βρίσκεται σε απόσταση μερικών μέτρων από τον στόχο του και δεν χρειάζεται να βλέπει καν την επίμαχη οθόνη- αρκεί να έχει εικόνα του θύματος. Ειδικότερα, για τους σκοπούς του συστήματος δημιουργήθηκε λογισμικό το οποίο «χαρτογραφεί» τις κινήσεις/σκιές των ακροδαχτύλων του χρήστη πάνω σε μια οθόνη αφής σε tablet ή smartphone. Ο αλγόριθμος «μεταφράζει» τις κινήσεις αυτές στα νούμερα τα οποία πάτησε το θύμα, συνθέτοντας έτσι τον κωδικό. Σύμφωνα με το CNN, ο αλγόριθμος δοκιμάστηκε σε κωδικούς σε iPad, Nexus 7 και iPhone 5.
Εκ πρώτης όψεως, το όλο σύστημα, αν και εντυπωσιακό, δεν αποτελεί πραγματικά μεγάλη «απειλή», όσον αφορά, για παράδειγμα, στην υποκλοπή ΡΙΝ για tablets και smartphones, καθώς, σε κάθε περίπτωση, θα χρειαζόταν και η κλοπή της ίδιας της συσκευής. Ωστόσο, ο Ξινουέν Φου, ένας εκ των ερευνητών, τονίζει ότι ο κίνδυνος που συνιστά ένα τέτοιο σύστημα είναι πραγματικά μεγάλος, καθώς θα μπορούσε να χρησιμοποιηθεί για την υποκλοπή αριθμών τραπεζικών λογαριασμών, κωδικών e-banking κ.α.- αρκεί απλά κάποιος εφοδιασμένος με την κατάλληλη συσκευή (το Google Glass ενδείκνυται καθώς εναλλακτικά ο αυτουργός θα γινόταν αντιληπτός, αφού θα «σημάδευε» το θύμα με την κάμερά της συσκευής του) ο οποίος θα έχει το θύμα στο οπτικό του πεδίο. Παρόλα αυτά, ο Φου και η ομάδα του πειραματίστηκαν με μια ποικιλία συσκευών (Google Glass, κάμερα κινητού, webcam, camcorder). Σε μία περίπτωση το λογισμικό ήταν σε θέση να λειτουργήσει αποτελεσματικά σε βίντεο από camcorder που είχε ληφθεί από απόσταση περίπου 45 μέτρων.
«Το ζήτημα είναι η γωνία. Για να είναι επιτυχής η ‘επίθεση’, ο επιτιθέμενος πρέπει να είναι σε θέση να αλλάξει τη γωνία για να τραβήξει καλύτερο βίντεο…αν δουν το δάχτυλό σου, ο κωδικός έχει κλαπεί» αναφέρει ο Φου.
Σύμφωνα με την Google, το Glass σχεδιάστηκε έχοντας κατά νου την προστασία της ιδιωτικότητας, και υπάρχουν σαφείς ενδείξεις όταν χρησιμοποιείται για την καταγραφή βίντεο. Εκπρόσωπος της εταιρείας δήλωσε στο CNN ότι η υποκλοπή κωδικών από ανθρώπους σε ΑΤΜ ή laptops δεν είναι κάτι καινούριο, ωστόσο στο Glass ανάβει φως όταν καταγράφεται βίντεο, οπότε οι γύρω μπορούν να το αντιληφθούν εύκολα.
Η βασική «αχίλλειος πτέρνα» την οποία εκμεταλλεύεται το σύστημα είναι ότι τα νούμερα σε ένα πληκτρολόγιο εμφανίζονται πάντα στα ίδια σημεία. Υπάρχουν εργαλεία που το αλλάζουν αυτό (εμφανίζοντας, για παράδειγμα, το 9 εκεί όπου θα εμφανιζόταν το 1) αλλά δεν χρησιμοποιούνται ευρέως. Στόχος της δουλειάς της ομάδας είναι τέτοιου είδους προστασίες να καταστούν πιο «mainstream».
Σύμφωνα με σχετικό ρεπορτάζ του CNN, ο «υποκλοπέας» μπορεί να βρίσκεται σε απόσταση μερικών μέτρων από τον στόχο του και δεν χρειάζεται να βλέπει καν την επίμαχη οθόνη- αρκεί να έχει εικόνα του θύματος. Ειδικότερα, για τους σκοπούς του συστήματος δημιουργήθηκε λογισμικό το οποίο «χαρτογραφεί» τις κινήσεις/σκιές των ακροδαχτύλων του χρήστη πάνω σε μια οθόνη αφής σε tablet ή smartphone. Ο αλγόριθμος «μεταφράζει» τις κινήσεις αυτές στα νούμερα τα οποία πάτησε το θύμα, συνθέτοντας έτσι τον κωδικό. Σύμφωνα με το CNN, ο αλγόριθμος δοκιμάστηκε σε κωδικούς σε iPad, Nexus 7 και iPhone 5.
Εκ πρώτης όψεως, το όλο σύστημα, αν και εντυπωσιακό, δεν αποτελεί πραγματικά μεγάλη «απειλή», όσον αφορά, για παράδειγμα, στην υποκλοπή ΡΙΝ για tablets και smartphones, καθώς, σε κάθε περίπτωση, θα χρειαζόταν και η κλοπή της ίδιας της συσκευής. Ωστόσο, ο Ξινουέν Φου, ένας εκ των ερευνητών, τονίζει ότι ο κίνδυνος που συνιστά ένα τέτοιο σύστημα είναι πραγματικά μεγάλος, καθώς θα μπορούσε να χρησιμοποιηθεί για την υποκλοπή αριθμών τραπεζικών λογαριασμών, κωδικών e-banking κ.α.- αρκεί απλά κάποιος εφοδιασμένος με την κατάλληλη συσκευή (το Google Glass ενδείκνυται καθώς εναλλακτικά ο αυτουργός θα γινόταν αντιληπτός, αφού θα «σημάδευε» το θύμα με την κάμερά της συσκευής του) ο οποίος θα έχει το θύμα στο οπτικό του πεδίο. Παρόλα αυτά, ο Φου και η ομάδα του πειραματίστηκαν με μια ποικιλία συσκευών (Google Glass, κάμερα κινητού, webcam, camcorder). Σε μία περίπτωση το λογισμικό ήταν σε θέση να λειτουργήσει αποτελεσματικά σε βίντεο από camcorder που είχε ληφθεί από απόσταση περίπου 45 μέτρων.
«Το ζήτημα είναι η γωνία. Για να είναι επιτυχής η ‘επίθεση’, ο επιτιθέμενος πρέπει να είναι σε θέση να αλλάξει τη γωνία για να τραβήξει καλύτερο βίντεο…αν δουν το δάχτυλό σου, ο κωδικός έχει κλαπεί» αναφέρει ο Φου.
Σύμφωνα με την Google, το Glass σχεδιάστηκε έχοντας κατά νου την προστασία της ιδιωτικότητας, και υπάρχουν σαφείς ενδείξεις όταν χρησιμοποιείται για την καταγραφή βίντεο. Εκπρόσωπος της εταιρείας δήλωσε στο CNN ότι η υποκλοπή κωδικών από ανθρώπους σε ΑΤΜ ή laptops δεν είναι κάτι καινούριο, ωστόσο στο Glass ανάβει φως όταν καταγράφεται βίντεο, οπότε οι γύρω μπορούν να το αντιληφθούν εύκολα.
Η βασική «αχίλλειος πτέρνα» την οποία εκμεταλλεύεται το σύστημα είναι ότι τα νούμερα σε ένα πληκτρολόγιο εμφανίζονται πάντα στα ίδια σημεία. Υπάρχουν εργαλεία που το αλλάζουν αυτό (εμφανίζοντας, για παράδειγμα, το 9 εκεί όπου θα εμφανιζόταν το 1) αλλά δεν χρησιμοποιούνται ευρέως. Στόχος της δουλειάς της ομάδας είναι τέτοιου είδους προστασίες να καταστούν πιο «mainstream».
Η έρευνα θα παρουσιαστεί αναλυτικότερα στη συνδιάσκεψη κυβερνοασφαλείας Black Hat τον επόμενο μήνα.
http://www.naftemporiki.gr/story/830637/ypoklopi-kodikon-eks-apostaseos-meso-binteo
http://www.naftemporiki.gr/story/830637/ypoklopi-kodikon-eks-apostaseos-meso-binteo
0 σχόλια:
Δημοσίευση σχολίου