一种名为”Thermanator”的攻击方式可以利用你手指的热量痕迹来攻击你,以便窃取你的密码或者输入的任何
其它短文本。
来自加州大学的安全研究员提出了一种新的攻击方式,可以让攻击者检索出您通过键盘输入的敏感信息 - 可能是您输入一分钟后的字符。
研究人员分析,让30个用户在四个常见的外部键盘上输入10个不同的密码,包括复杂度不一样的。然后研究人员使用热成像扫描仪,扫描了最近按下的键上剩余的余热。从收集热痕上的字母,他们重组了含有热能信息的键盘字母 ,然而重组获取了输入的正确密码。
简而言之,在第一个键输入后30秒内,热成像成功检索到相机捕获的整套按键。据研究人员介绍,在第一个按键被按下一分钟后,可以恢复部分按键,研究人员在一篇名为“ Thermanator:Thermal Residue-Based Postum Attacks on Keyboard Password Entry ”的论文中描述了他们的发现。”。由此获得的拼图可以很容易地用于密码破解攻击。
输入0秒,15秒,30秒和45秒后键盘上的“passw0rd”热痕
“当你输入密码后,立即离开有人可以利用热痕了解很多内容,” 该论文的一位作者Gene Tsudik 说道
“作为温血动物,人类自然喜欢温度适宜的环境,由于这种热量差异,我们不可避免地会在我们经常触摸的许多物体上留下热痕,尤其是温热的手指。”
2011年的一项研究表明,通过分析键盘上留下的余热,也可以恢复在自动提款机上输入的密码。
与此同时,对“Thermanator”的研究还表明,由于每个键上留下较大的指纹和热迹,因此打字员特别容易受到这种攻击。
当然攻击工作需要满足一些条件。即在输入者在输入敏感信息后立即离开或被引诱离开他们的系统,并且热能摄像机必须具有不受限制的键盘监视。
无论哪种方式,基于传感设备的攻击将变得越来越便宜”。
缓解措施
作者提出了一些缓解措施,这些缓解措施可以让获取的数据变得不可能或者模糊繁琐一些。它们包括在输入敏感信息前键入随机字母,或者在离开时随机按下不同字母。
閱讀更多 互聯網企業安全 的文章
