Stjäla lösenord med Google-glas, smartur, webbkameror, vad som helst!

Här på SecurityWatch berättar vi ofta för läsarna att de måste hålla sina smartphones säkra med - minst - en PIN-kod. Men efter årets Black Hat kan det vara tillräckligt längre. Allt som en angripare behöver för att stjäla en smarttelefonkod är en videokamera eller till och med en bärbar enhet som Google Glass.

Presentatör Qinggang Yue demonstrerade sitt lags anmärkningsvärda nya attack i Las Vegas. Med hjälp av videofilmer hävdar de att de automatiskt kan känna igen 90 procent av passoderna upp till nio meter från målet. Det är en enkel idé: bryta lösenord genom att titta på vad offrens press. Skillnaden är att den här nya tekniken är mycket mer exakt och automatiserad.

Yue startade sin presentation genom att säga att titeln kunde ändras till "min iphone ser ditt lösenord eller min smartwatch ser ditt lösenord." Allt med en kamera kommer att göra jobbet, men det som finns på skärmen behöver inte vara synligt.

Finger stirrar

För att "se" kranar på skärmen spårar Yues team den relativa rörelsen hos offrens fingrar över pekskärmar med olika sätt. De börjar med att analysera skuggbildningen runt fingertoppen när den slår mot pekskärmen, tillsammans med andra datorsynstekniker. För att kartlägga kranarna använder de plan homografi och en referensbild av mjukvarutangentbordet som används på offrens enhet.

Den tekniska sofistikeringen av detta är verkligen anmärkningsvärt. Yue förklarade hur han och hans team med hjälp av olika visuella bearbetningstekniker kunde bestämma offrets finger över skärmen med större och större noggrannhet. Till exempel hjälpte den olika belysningen av delar av offrets finger att fastställa kranens riktning. Yue tittade till och med på fingerens reflektion för att bestämma dess position.

En överraskande upptäckt är att människor tenderar att inte flytta resten av fingrarna medan de trycker på en kod. Detta gav Yues team förmågan att spåra flera poäng på handen samtidigt.

Mer häpnadsväckande är att den här attacken fungerar för alla standardtangentkonfigurationer, bara en numpad.

Hur illa är det?

Yue förklarade att på nära håll kunde smarttelefoner och till och med smarta klockor användas för att fånga den video som behövs för att bestämma offrets lösenord. Webbkameror fungerade lite bättre, och iPads större tangentbord var mycket lätt att se.

När Yue använde en videokamera kunde han fånga offerets lösenord från upp till 44 meter bort. Scenariot, som Yue sade att hans team testade, hade en angripare med en videokamera på fjärde våningen i en byggnad och tvärs över gatan från offret. På det här avståndet uppnådde han 100 procent framgångsrate.

Ändra tangentbordet, ändra spelet

Om detta låter skrämmande, rädd aldrig. Presentatörerna kom med ett nytt vapen mot sin egen skapelse: Privacy Enhancing Keyboard. Detta sammanhangsmedvetna tangentbord avgör när du anger känslig data och visar ett slumpmässigt tangentbord för Android-telefoner. Deras visionbaserade schema gör vissa antaganden om tangentbordlayout. Byt helt enkelt tangentbordet, så kommer attacken inte att fungera.

En annan begränsning av attacken är kunskap om enheten och formen på tangentbordet. Kanske kommer iPad-användare inte att känna sig så illa med knock-off-enheter.

Om allt som inte låter som det räcker för att hålla dig säker, hade Yue några enkla, praktiska råd. Han föreslog att du skulle ange personlig information privat eller helt enkelt täcka din skärm när du skriver.