Chester Wisniewski, a Sophos Canada biztonsági tanácsadója, a Sophos NakedSecurity blogból
A múlt heti USENIX Biztonsági Szimpóziumon Keaton Mowery, Sarah Meiklejohn és Stefan Savage biztonsági kutatók a San Diego-i California Egyetemről bemutatták „A pillanat heve: a hőkamera-alapú támadások hatásosságának jellemzése" című tanulmányukat.
A Michael Zalewski által végzett széftörésről szóló korábbi tanulmány által inspirálva úgy gondolták, hogy könnyebb a bűnözők számára, ha ATM PIN kódokat próbálnak megszerezni hőkamerákkal (infravörös) a billentyűlenyomások által visszamaradt hő érzékelésével, mintha hagyományos videókamerákat használnának a jelenlegi technikákkal.
A hőkamerázásnak számos előnye van. A hagyományos kamerákkal ellentétben a PIN felület elrejtésével nem lehet visszaverni ezt a támadást, és az automatikus PIN begyűjtési képesség számítógépes szoftver használatával tovább egyszerűsíti a feladatot.
A kutatók 21 önkéntest kértek fel a tesztekhez, 27 véletlenszerűen kiválasztott PIN kódot használva mind plasztik PIN felületen, mint festett fém PIN felületen.
A résztvevők gomblenyomási ereje és testhőmérsékletük bizonyos mértékig kihatással voltak a végeredmény tekintetében. A kutatók felfedezték, hogy a fém felület használatával a támadást majdnem lehetetlen kivitelezni, viszont a műanyag PIN felület esetében még azt is lehetséges volt meghatározni a hőmintákból a lenyomott számokon felül, hogy a számok lenyomása milyen sorrendben történt meg.
A műanyag PIN felület esetén a kutatók egy egyéni szoftverrel képesek voltak automatizálni az analízist, körülbelül 80%-os sikerrel tudták észlelni az összes leütött számjegyet egy 10 mp-es időkereten belül, miután az illető személy beütötte saját PIN kódját. A sikerességi arány még akkor is jóval 60% felett volt, ha 45 mp-es időkeretet hagytak a PIN kód beírása után.
A kutatók ezen felül összehasonlították automatizáló szoftverük videofelvételét emberi szempontból is. Az derült ki, hogy nem csak hogy működött a szoftver, de gyakran sokkal pontosabban hajtotta végre, mintha emberek nézték volna a videót.
Míg a hőkamerák egy csöppet költségesek, ez a kutatás azt sugallja, hogy a tolvajok inkább a jövőben fogják felhasználni ezt a technikát.
Amennyire tudjuk, ezt a támadást még nem használták a vadonban, de a közöttünk élő óvatosabb egyének inkább fém PIN felületet fognak használni, hogy csökkentsék az áldozattá válás kockázatát.
További információ angol nyelven