Я тебя по блеску в глазах взломаю



    Ян Крисслер (Jan Krissler), тот же биометрический хакер, который красноречиво демонстрирует «уязвимость большого пальца» и который хакнул по фотографии министра обороны Германии, по блеску глаз может узнать ваш пароль/PIN.

    Как показала практика, глаза это не только зеркало души, но и просто зеркало, а значит в него можно подсмотреть, что же творится у вас на экране.

    О том, как распознают напечатанные символы по отражению от глаз и от солнцезащитных очков, читайте под катом

    Предыдущие работы


    Если вдруг у хакера есть доступ к какому-нибудь каналу, то узнать пин/пароль технически возможно.

    По акселерометру


    Practicality of Accelerometer Side Channels on Smartphones
    Определение шаблона по акселерометру

    По видеокамере
    image

    PIN Skimmer: Inferring PINs Through The Camera and Microphone

    image
    Вскрытие нажатий кнопок по дрожанию изображения на фронтальной видеокамере

    Текущие работы


    Security Impact of High Resolution Smartphone Cameras



    Варианты того, с каких поверхностей можно снимать отражение. Обратите внимание на расстояние


    Таблица роста разрешения видеокамер на смартфонах

    Глаза


    Картинка наверху — демонстрация того, что можно считывать изображение/отражение не только с очков, но и с глаз.


    Соотношение размера отражения 5-дюймового дисплея на глазу в зависимости от разрешения камеры. Дистанция 30 и 60 см. Все что над красной линией, то можно реконструировать


    Формула для расчета размера изображения

    Очки


    Есть любопытная статья On the Privacy Risks of Virtual Keyboards: Automatic Reconstruction of Typed Input from Compromising Reflections, она платная, но поисковик вытащил из нее картинки

    Вот бесплатная статья



    image

    image

    image

    image





    Меры защиты



    Рандомная клавиатура (поможет при низком разрешении изображения), ввод пароля eye-trackerом (да и его можно взломать), биометрическая аутентификация? Удачи

    P.S.

    Отражения, кривляясь,
    Вырываются на волю,
    Хладнокровно улыбаясь
    Или плача, но без боли…
    Зеркала следят за нами,
    Научившись даже слушать,
    Быть и мыслями, и снами,
    Искажая наши души.
    Тонут в зеркале желанья,
    Замедляются движенья…
    Нас отдали на закланье,
    Нас поймали отраженья…
    Rain
    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 45

      +54
      Уже разработаны
      надежные методы защиты.
      Защита от подсматривания
        +15
        Вы запомнили приметы преступника, выхватившего у Вас смартфон? Нет, у меня на голове был надет чулок.
          0
          Смартфон в чулке, привязанный к голове не легко выхватить.
          +20
          порноскоп =)
            +6
            Порноскопы снова в моде!
              0
              Почти, только еще надо фронтальную камеру заклеить, а то что толку?
                +1
                А теперь без шуток — Приватный монитор
                +48
                Я так понимаю, скоро в комментариях перестанут постить ту картинку про CSI…
                  +48
                  зашел сюда за этой картинкой, а ее нету:)
                +2
                В статье какие-то малореальные цифры, прямо считывание из зрачка с трех метров, какие-то акселерометры,

                А на видяшке — тупое подсматривание в смартфон приличной видеокамерой из-за спины, и съемка в 1 метре в упор отражение в специально подобранных полностью зеркальных очках, у человека который специально смартфон поближе поднес.

                Разочарован. Хотел посмотреть пусть и постановочные, но реально сложные случаи.
                  0
                  Ну, главное принцип, учитывая развитие камер не такая уж фантастика очень дорогой скрытой камерой считать со зрачка информацию. А учитывая моду на выкладывания видеороликов о себе любимом вполне можно найти видео когда кто-то вводит пароль или что-то вроде.
                    +6
                    В том-то и дело, что на ролике нет ничего примечательного.

                    Обычной (доступной всем) камерой, со второго этажа (то есть расстояние до жертвы примерно метров 10-15), прямо из-за плеча смотрят в смартфон, при этом можно рассмотреть вводимые символы невооруженным глазом — так можно было бы украсть пароль еще 50 лет назад, используя бинокль и карандаш и на бОльшем расстоянии.
                    То есть на видео не показано никакое преимущество техники, никакого анализа или обработки снятого изображения.

                    Я ожидал, что на ролике, который вставили в такую статью, в статью, у которой такое название, покажут как сняли изображение со зрачка, например.
                      +1
                      Раньше было сложно представить, чтобы едва ли не каждый на улице, в транспорте работал с информацией требующей ограничения доступа, а с подобной информацией работали более квалифицированные и инструктированные о персональной ответственности люди. Поэтому 50 лет назад потерять/получить информацию подобным образом было куда менее реально. Это с одной стороны.
                      С другой стороны — современная фото-, видеофиксация позволяет зафиксировать всё в очень хорошем качестве и дальше обрабатывать эту информацию, что технически ранее было куда сложнее и далеко не так доступно.
                      Плюс, добавим, различные приложения (те же анимированные обои или клиенты социальных сетей) желающие полномочий какие только есть в устройстве и высокий соблазн забить на безопасность у среднестатистического пользователя.
                      Поэтому здесь количество переходящее в качество™.
                      +1
                      Ну, коментарий товарища saboteur_kiev не лишен смысла. Чисто концептуально, описанный метод ничем не примечателен. Он мог бы представлять интерес при стабильно высоком проценте срадатываний, но этого не может обеспечить текущий уровень развития бытовой фото-аппаратуры. Т.ч. толку от этого всего не очень много.
                        0
                        Если пароль набирается много раз, то можно использовать статистику — набрать много данных, 50-100 записей ввода пароля, затем как-то совместить изображения для улучшения контрастности и т.п.
                        Для определения буквы на клавиатуре не обязательно обладать разрешением для распознавания буквы — клавиатуры имеют стандартные раскладки, кнопки расположены в известных позициях, следовательно, достаточно иметь данные размером в несколько пикселей на кнопку, недостаточные для распознавания букв, но достаточных для определения позиции кнопки.
                        p.s. пока писал комментарий — не дочитал «Рандомная клавиатура (поможет при низком разрешении изображения)».
                          +2
                          Так покажите это на видео!!! Я ж именно про то, что меня ролик разочаровал а не сама идея.

                          А насчет 50-100 записей ввода пароля — я когда в банкомате пинкод ввожу, я тщательно слежу за всеми углами обзора и отражения. И вообще второй рукой прикрываю и пальцами шевелю. Пора привыкать так делать для всех паролей, набранных в общественных местах.
                    +13
                    Длинная картинка под спойлером
                    image
                    0
                    Я так понимаю, скоро заставят придумывать восьмизначные буквенно-циферные пин коды для разблокировки телефона?
                      0
                      И менять их каждый месяц.
                        0
                        Для защиты от некоторых видов атак, указанных в статье (определения позиций нажатых кнопок с помощью камеры или акселерометра) давно уже придумана элементарная защита — рандомизированные пин-пады, у которых цифры каждый раз располагаются по кнопкам в случайном порядке.

                        –5
                        Защита проста — не ходить в очках :D

                        А вообще я так и не понял чем это страшно, кроме как тем, что кто-то увидит твой экран?
                          0
                          Этого мало, особенно если ты вводишь пароль к банковскому сервису в этот момент? В принципе получается можно придти в банк со скрытой камерой и прочитать логин и пароль оператора по отражению в его глазах/очках (или часть пароля, что тоже не мало).
                            +2
                            Ну положим без доступа во внутренний периметр логин/пароль операциониста вам не помогут. И нет у операциониста причин куда-либо аутентифицироваться при вас. Да и ничего особо страшного вы под его учетными данными не совершите. Это же низшее звено в банковской иерархии (наравне с операторами контакт-центров), к ним устроиться не намного сложнее чем в макдональдс, у них тяжелая работа при низком окладе и огромная текучка, доверия к ним со стороны руководства мало, причем как правило это недоверие полностью оправданно.
                              0
                              В то же время оперционист может проводить платежки, так что полного отсутствия доверия быть не может. Про текучку Вы правы.
                                +1
                                В то же время оперционист может проводить платежки
                                Которые все равно визирует начальник оперзала.
                            0
                            я так понимаю может быть дополнительный вектор для снимания пин кодов в банкоматах, к ещё одной камере на банкомате отнесутся с доверием — он и так обвешан камерами.
                              –1
                              Очки для компьютера, смартфона, банкомата…
                              Картинка

                                0
                                зачем еще одна? фотик с телеобъективом прекрасно снимет отражения вашей руки во встроенной камере банкомата :)
                              +4
                              Предлагаю быть уверенным в том, что автором приведённого Вами постскриптума является не Лукьяненко, который приводит его как эпиграф.
                                +1
                                Исправил
                                  –1
                                  Да, когда-то он писал хорошие книги. Было время.
                                  0
                                  При помощи паяльника можно узнать больше информации, чем код разблокировки экрана, а если не хватает сил, то хороший бинокль в помощь.
                                  • UFO just landed and posted this here
                                      +2
                                      Бывает, но человек в данном случае уже скорее мертв, чем жив.
                                      0
                                      Ходят слухи, что у орудующих паяльником плохая выживаемость.
                                      • UFO just landed and posted this here
                                          0
                                          В некоторых районах достаточно просто наличия самого телефона.
                                          Еще вполне достаточно в неудачное время в неудачном месте сфоткать кого-то, кто этого очень не хочет.
                                          • UFO just landed and posted this here
                                            0
                                            Даже не знаю, какой пример привести
                                            image
                                          +2
                                          Это еще что, у меня был один знакомый, так тот так отражения карт так видел.
                                            +2
                                            Короче, щуримся при вводе пин-кодов.
                                              0
                                              Странно, что он фокус с жировым следом на экране телефона не продемонстрировал :)

                                              Only users with full accounts can post comments. Log in, please.