Security Week 46: подсматривание паролей в телеконференциях

Исследователи из Техасского университета в Сан-Антонио предложили необычный способ кейлоггинга через анализ движений головы и плеч на видеозаписи ( новость, исследование в PDF). С довольно широкими допущениями сценарий выглядит так: подключаемся к видеоконференции, записываем жертву на видео. Если она во время звонка набирает текст на клавиатуре, мы можем ассоциировать движения в кадре как минимум с нажатием на определенные клавиши. Дальнейшее уточнение с использованием словарей позволило на практике угадывать текст в 75% случаев.
Как и многие другие научные работы, исследование малоприменимо на практике, так же как, скажем, подслушивание через лампочку или разговор с умной колонкой с помощью лазера.

По словам криптографа Брюса Шнайера (Bruce Schneier), в данном случае впечатляет сам факт, что исследователи смогли хоть что-то определить. И еще: как правило, подобные алгоритмы работают тем лучше, чем больше имеется материала для анализа. Пандемия и массовая удаленка создали ситуацию, когда на каждого из нас теоретически можно собрать архив из сотен часов видео.

В научной работе есть дюжина ссылок на похожие прошлые исследования, чтобы оценить арсенал средств подслушивания и подсматривания. Среди них — кейлоггинг по электромагнитному излучению, по движению глаз печатающего, по движениям планшета (предполагается, что мы снимаем заднюю часть устройства). Упоминается используемый на практике, в реальных атаках, анализ видео, где на клавиатуре банкомата или платежного терминала набирается PIN-код. Дальше еще интереснее: распознавание ввода через анализ вибраций — сторонним датчиком или с помощью штатных сенсоров мобильного устройства или умных часов. Ближайшие по теме исследования определяют нажатия клавиш по собственно звуку клавиатуры, для этого даже видео не требуется. В Zoom-версии теоретически можно совместить методы анализа по звуку и картинке.

В предельно упрощенном виде новый метод подсматривания работает так: распознается лицо жертвы, анализируются небольшие движения плеч. Клавиатура условно делится на две части: для левой и правой рук. Далее грубо определяется направление: при одном движении предполагаем, что нажата клавиша выше и левее относительно центра одной из половинок клавиатуры. В другом случае — ниже и правее, и так далее. Приемлемую точность дает сравнение догадок со словарем, что дарит заголовку этого поста легкую золотистую корочку.

Пароль если и удастся украсть, то самый простой, который можно перебором определить за пять минут. Для минимально сложных вероятность определения составила 18,9%. Методика также страдает от простейших методов, затрудняющих отслеживание. Предполагается набор двумя руками, а значит, не получится определить набор букв пальцами одной руки. Требуется определить движение плеч, а этому мешает свободная одежда. В общем, это предельно непрактичное исследование, которое тем не менее впечатляет своей дерзостью и наверняка пригодится ИБ-энтузиастам.


Что еще произошло

Специалисты «Лаборатории Касперского» исследуют троян-шифровальщик для Linux, недавно замеченный в атаках на Департамент транспорта штата Техас и компанию Konica Minolta. Картинка выше — результат работы трояна под Windows, предположительно используемого той же группировкой.
В треде из Твиттера выше описывается интересный эксперимент. На публичный репозиторий исходного кода заливается секретный ключ для доступа к серверу на Amazon Web Services, и отслеживается время до попытки входа на сервер. На хостинге GitHub токен AWS использовали уже через 11 минут, на GitLab — через час после коммита.

В релизе iOS и iPadOS 14.2 компания Apple закрыла 24 уязвимости, три из них — предположительно используемые в атаках.

Американские правоохранительные органы получили контроль над Bitcoin-кошельком, использовавшимся в операциях даркнет-рынка Silk Road (закрыт в 2013 году). Там с тех пор хранилось почти 70 тысяч биткойнов, на момент публикации это около миллиарда долларов США.

Новое исследование показывает, как для фишинга используются формы на сервисе Google Формы. В числе атакуемых компаний — сама Google.