【暗黑技能】黑客可憑肩膊動態偷取密碼
University of Texas 與 University of Oklahoma 最近聯合發表論文 “Zoom on the Keystrokes: Exploiting Video Calls for Keystroke Inference Attacks.”,團隊運用自行研發程式,可以透過 Zoom 捕捉用戶打字記錄,若是密碼,只要比對密碼數據庫,就能推斷密碼組合。
當然大家會問 Zoom 期間黑客亂入,誘惑用戶在視像中輸入密碼的機會率有多大。的確,研究團隊要用指定 Web Cam、座椅與鍵盤等,才可將準繩度提高至 75%(最高 93%),換了密碼的準繩度將更低,非設定環境下,只徘徊在 20%。再者,實驗所用的感測程式,由兩所大學開發,暫未流出市面,所以說刻下風險很低並無不妥,但是否可以因此 Downplay 潛在風險?資安研究的初心,就是在受害者出現前警剔大眾,事實上,這次團隊所發現的 Keystroke Inference Attack 進化可能,出奇不意,毋須直接觀察手指,單靠肩膊動態也能獲取情報。Video Call 在後疫情下擠身主流通訊渠道,有誰想到露出頭肩頸會有這個風險?
根據兩所大學的研究論文,研究中開發的程式,並非觀察用家手指敲按鍵,相反,程式分析肩膊肌肉與關節化解指尖敲擊鍵盤後的 Action Reaction Force,因為每個人的打字姿勢受坐姿、力道、慣用手等因素影響,可以千變萬化,相對身體在處理 Action Reaction Force 的方式則較為統一。手指透過不同指骨連接手腕,每隻手指敲打鍵盤後所產生的反作用力,令手臂肩膊肌肉與關節出現細微變化差別,研究程式能因此記錄手指敲擊的鍵盤範圍、移動幅度等,並與字典比對,重組用戶輸入的文字。
要發動新型 Keystroke Inference Attack,黑客需要與目標進行 Video Call,又或入侵其 Video Call,而 Video Call 需要較高解像度,程式才能進行分析。論文同時指出,如目標使用的 Password 與數庫據內一百萬個常見 Password 相同,程式準繩度可達 75%,若用戶密碼由數字文字符號組成,又或由軟件隨意生成,程式準繩度則大幅下降至 18.9%。研究團隊指,程式測試範圍暫時只限視覺資訊,如果加入聲音,一定會提高準確性。
最後,到底用戶可以怎樣保護自己?Video Call 內不展示肩膊、留長頭髮、戴上古怪耳機、轉換背景光、與及不斷移動身體,均能妨礙程式分析。不過最實際,還請選用難拆解的密碼、2FA、Biometrics Password,此舉能夠抵禦的可不只 Keystroke Inference Attacks,帶來更全面保障。