研究人员试图通过热成像:窃取用户键盘输入记录
- A
美国加州大学欧文分校的研究人员近日发布新研究论文,阐述了通过热成像相机测量键盘余温窃取密码的攻击方式。
这种攻击方式的原理是利用人的手指在键盘按键上留下的热残留,通过记录这些余温获得用户在键盘上输入的文本。
基于此,恶意人员只需要一台中距热感摄像机,就能在用户敲击键盘后的一分钟时间里捕捉到用户键入的文本信息。
其中一位研究人员称:如果你输入密码后起身离开,其他人就能作案,但基于热流失通常只能在数分钟内收集信息。
在试验场景中,研究人员让31个人在4钟不同键盘中输入密码,让8名业余人员从提取的热成像数据中推导密码组合。
结果显示,输入密码30秒内提取的热成像数据,足以让未接受过训练的业余攻击者还原出完整的、正确的密码组合。
而在输入密码后的一分钟内提取到的热成像数据,依旧能够让比较有经验的攻击者拿到部分、同样正确的密码组合。
而且,试验所使用的热成像记录仪也是市面上售卖的中等摄像机,即便不是专门用于社工的热成像相机也能够胜任。
有趣的是研究人员透露这种攻击方式对于使用二指禅的用户特别有效,尤其是那些用二指禅的同时还盯着键盘的人。
当然了,笔者前文已提到这种攻击方式存在缺陷,首先是必须完整记录到键盘,其次是必须就近架设热成像摄像机。
因此,在日常生活中这种攻击方式并不适合,但在商业环境中就另当别论了,因此,建议用户用完键盘后抹上一把。
当然了,应对键盘攻击最好的办法是使用虚拟键盘,因为即便热成像不起作用,攻击手段中还可能有键盘记录器的。