¡Robando contraseñas con google glass, smartwatches, cámaras web, lo que sea!

Aquí en SecurityWatch, a menudo les decimos a los lectores que necesitan mantener sus teléfonos inteligentes seguros con, como mínimo, un código PIN. Pero después del Black Hat de este año, eso podría ser suficiente. Ahora todo lo que un atacante necesita para robar el código de acceso de un teléfono inteligente es una cámara de video, o incluso un dispositivo portátil como Google Glass.

El presentador Qinggang Yue demostró el nuevo ataque notable de su equipo en Las Vegas. Utilizando imágenes de video, afirman ser capaces de reconocer automáticamente el 90 por ciento de las passodes a una distancia de hasta nueve pies del objetivo. Es una idea simple: romper las contraseñas mirando lo que presionan las víctimas. La diferencia es que esta nueva técnica es mucho más precisa y totalmente automatizada.

Yue comenzó su presentación diciendo que el título podría cambiarse a "mi iPhone ve su contraseña o mi reloj inteligente ve su contraseña". Cualquier cosa con una cámara hará el trabajo, pero lo que está en la pantalla no necesita ser visible.

Dedo mirando

Para "ver" toques en la pantalla, el equipo de Yue rastrea el movimiento relativo de los dedos de las víctimas sobre las pantallas táctiles utilizando una variedad de medios. Comienzan analizando la formación de sombras alrededor de la punta del dedo cuando golpea la pantalla táctil, junto con otras técnicas de visión por computadora. Para mapear los grifos, usan homografía plana y una imagen de referencia del teclado de software utilizado en el dispositivo de las víctimas.

La sofisticación técnica de esto es realmente notable. Yue explicó cómo, utilizando una variedad de técnicas de procesamiento visual, él y su equipo pudieron determinar la posición del dedo de la víctima sobre la pantalla con mayor y mayor precisión. Por ejemplo, la iluminación diferente de partes del dedo de la víctima ayudó a determinar la dirección del grifo. Yue incluso miró el reflejo del dedo para determinar su posición.

Un hallazgo sorprendente es que las personas tienden a no mover el resto de los dedos mientras tocan un código. Esto le dio al equipo de Yue la capacidad de rastrear varios puntos en la mano a la vez.

Más sorprendente es que este ataque funcionará para cualquier configuración de teclado estándar, solo un teclado numérico.

¿Qué tan malo es?

Yue explicó que a corta distancia, se podrían usar teléfonos inteligentes e incluso relojes inteligentes para capturar el video necesario para determinar el código de acceso de la víctima. Las cámaras web funcionaron un poco mejor, y el teclado más grande del iPad fue muy fácil de ver.

Cuando Yue usó una videocámara, pudo capturar la contraseña de la víctima desde una distancia de hasta 44 metros. El escenario, que Yue dijo que su equipo probó, tenía un atacante con una videocámara en el cuarto piso de un edificio y al otro lado de la calle frente a la víctima. A esta distancia, logró una tasa de éxito del 100 por ciento.

Cambia el teclado, cambia el juego

Si esto suena aterrador, nunca temas. Los presentadores vinieron con una nueva arma contra su propia creación: el teclado para mejorar la privacidad. Este teclado contextual determina cuándo está ingresando datos confidenciales y muestra un teclado aleatorio para teléfonos Android. Su esquema basado en la visión hace ciertas suposiciones sobre la distribución del teclado. Simplemente cambie el teclado y el ataque no funcionará.

Otra limitación del ataque es el conocimiento del dispositivo y la forma de su teclado. Quizás los usuarios de iPad no se sentirán tan mal por los dispositivos de imitación.

Si todo eso no parece suficiente para mantenerse a salvo, Yue tuvo algunos consejos simples y prácticos. Sugirió ingresar información personal en privado, o simplemente cubrir su pantalla mientras escribe.