一種名為”Thermanator”的攻擊方式可以利用你手指的熱量痕跡來攻擊你,以便竊取你的密碼或者輸入的任何
其它短文本。
來自加州大學的安全研究員提出了一種新的攻擊方式,可以讓攻擊者檢索出您通過鍵盤輸入的敏感信息 - 可能是您輸入一分鐘後的字符。
研究人員分析,讓30個用戶在四個常見的外部鍵盤上輸入10個不同的密碼,包括複雜度不一樣的。然後研究人員使用熱成像掃描儀,掃描了最近按下的鍵上剩餘的餘熱。從收集熱痕上的字母,他們重組了含有熱能信息的鍵盤字母 ,然而重組獲取了輸入的正確密碼。
簡而言之,在第一個鍵輸入後30秒內,熱成像成功檢索到相機捕獲的整套按鍵。據研究人員介紹,在第一個按鍵被按下一分鐘後,可以恢復部分按鍵,研究人員在一篇名為“ Thermanator:Thermal Residue-Based Postum Attacks on Keyboard Password Entry ”的論文中描述了他們的發現。”。由此獲得的拼圖可以很容易地用於密碼破解攻擊。
輸入0秒,15秒,30秒和45秒後鍵盤上的“passw0rd”熱痕
“當你輸入密碼後,立即離開有人可以利用熱痕瞭解很多內容,” 該論文的一位作者Gene Tsudik 說道
“作為溫血動物,人類自然喜歡溫度適宜的環境,由於這種熱量差異,我們不可避免地會在我們經常觸摸的許多物體上留下熱痕,尤其是溫熱的手指。”
2011年的一項研究表明,通過分析鍵盤上留下的餘熱,也可以恢復在自動提款機上輸入的密碼。
與此同時,對“Thermanator”的研究還表明,由於每個鍵上留下較大的指紋和熱跡,因此打字員特別容易受到這種攻擊。
當然攻擊工作需要滿足一些條件。即在輸入者在輸入敏感信息後立即離開或被引誘離開他們的系統,並且熱能攝像機必須具有不受限制的鍵盤監視。
無論哪種方式,基於傳感設備的攻擊將變得越來越便宜”。
緩解措施
作者提出了一些緩解措施,這些緩解措施可以讓獲取的數據變得不可能或者模糊繁瑣一些。它們包括在輸入敏感信息前鍵入隨機字母,或者在離開時隨機按下不同字母。
閱讀更多 互聯網企業安全 的文章
