Security Week 46: подсматривание паролей в телеконференциях

    Исследователи из Техасского университета в Сан-Антонио предложили необычный способ кейлоггинга через анализ движений головы и плеч на видеозаписи (новость, исследование в PDF). С довольно широкими допущениями сценарий выглядит так: подключаемся к видеоконференции, записываем жертву на видео. Если она во время звонка набирает текст на клавиатуре, мы можем ассоциировать движения в кадре как минимум с нажатием на определенные клавиши. Дальнейшее уточнение с использованием словарей позволило на практике угадывать текст в 75% случаев.


    Как и многие другие научные работы, исследование малоприменимо на практике, так же как, скажем, подслушивание через лампочку или разговор с умной колонкой с помощью лазера.

    По словам криптографа Брюса Шнайера (Bruce Schneier), в данном случае впечатляет сам факт, что исследователи смогли хоть что-то определить. И еще: как правило, подобные алгоритмы работают тем лучше, чем больше имеется материала для анализа. Пандемия и массовая удаленка создали ситуацию, когда на каждого из нас теоретически можно собрать архив из сотен часов видео.

    В научной работе есть дюжина ссылок на похожие прошлые исследования, чтобы оценить арсенал средств подслушивания и подсматривания. Среди них — кейлоггинг по электромагнитному излучению, по движению глаз печатающего, по движениям планшета (предполагается, что мы снимаем заднюю часть устройства). Упоминается используемый на практике, в реальных атаках, анализ видео, где на клавиатуре банкомата или платежного терминала набирается PIN-код. Дальше еще интереснее: распознавание ввода через анализ вибраций — сторонним датчиком или с помощью штатных сенсоров мобильного устройства или умных часов. Ближайшие по теме исследования определяют нажатия клавиш по собственно звуку клавиатуры, для этого даже видео не требуется. В Zoom-версии теоретически можно совместить методы анализа по звуку и картинке.


    В предельно упрощенном виде новый метод подсматривания работает так: распознается лицо жертвы, анализируются небольшие движения плеч. Клавиатура условно делится на две части: для левой и правой рук. Далее грубо определяется направление: при одном движении предполагаем, что нажата клавиша выше и левее относительно центра одной из половинок клавиатуры. В другом случае — ниже и правее, и так далее. Приемлемую точность дает сравнение догадок со словарем, что дарит заголовку этого поста легкую золотистую корочку.

    Пароль если и удастся украсть, то самый простой, который можно перебором определить за пять минут. Для минимально сложных вероятность определения составила 18,9%. Методика также страдает от простейших методов, затрудняющих отслеживание. Предполагается набор двумя руками, а значит, не получится определить набор букв пальцами одной руки. Требуется определить движение плеч, а этому мешает свободная одежда. В общем, это предельно непрактичное исследование, которое тем не менее впечатляет своей дерзостью и наверняка пригодится ИБ-энтузиастам.


    Что еще произошло



    Специалисты «Лаборатории Касперского» исследуют троян-шифровальщик для Linux, недавно замеченный в атаках на Департамент транспорта штата Техас и компанию Konica Minolta. Картинка выше — результат работы трояна под Windows, предположительно используемого той же группировкой.


    В треде из Твиттера выше описывается интересный эксперимент. На публичный репозиторий исходного кода заливается секретный ключ для доступа к серверу на Amazon Web Services, и отслеживается время до попытки входа на сервер. На хостинге GitHub токен AWS использовали уже через 11 минут, на GitLab — через час после коммита.

    В релизе iOS и iPadOS 14.2 компания Apple закрыла 24 уязвимости, три из них — предположительно используемые в атаках.

    Американские правоохранительные органы получили контроль над Bitcoin-кошельком, использовавшимся в операциях даркнет-рынка Silk Road (закрыт в 2013 году). Там с тех пор хранилось почти 70 тысяч биткойнов, на момент публикации это около миллиарда долларов США.

    Новое исследование показывает, как для фишинга используются формы на сервисе Google Формы. В числе атакуемых компаний — сама Google.
    «Лаборатория Касперского»
    Ловим вирусы, исследуем угрозы, спасаем мир

    Комментарии 0

    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

    Самое читаемое