it-swarm.dev

Touch Screen Password Indovinando tramite traccia impronte digitali

Dopo aver mangiato del pane all'aglio da un amico che è non consapevole della sicurezza, è riuscita a determinare rapidamente il PIN per sbloccare lo schermo del mio Samsung SIII.

Lo ha capito semplicemente tenendo il dispositivo contro la luce e guardando il modello di grasso che il pollice ha lasciato sullo schermo. Le ci vollero solo 2 tentativi per sbloccare lo schermo.

Immagino che non sarebbe stata in grado di accedere al mio telefono se avessi mantenuto lo schermo più pulito o se il dispositivo potesse essere sbloccato solo premendo i numeri, invece di trascinare il dito per formare una sequenza.

È un mezzo di attacco comune? Le password del modello di trascinamento delle dita sono davvero più insicure rispetto alle password a tocco numerico?

76
Lex

Questo è noto come "Smudge Attack"

Dipende molto da quanto hai usato il telefono dall'ultima volta che lo hai sbloccato, ma il principio generale è ancora valido. Se utilizzi la funzione modello di Android, questo può essere particolarmente ovvio.

L'Università della Pennsylvania ha pubblicato un documento di ricerca sull'argomento e sostanzialmente ha concluso che potevano capire la password oltre il 90 percento delle volte.

Lo studio ha anche scoperto che le "macchie di pattern", che si formano dalla scrittura della stessa password più volte, sono particolarmente riconoscibili.

Inoltre:

"Abbiamo dimostrato che in molte situazioni è possibile il recupero completo o parziale del modello, anche con" rumore "di sbavature causato dall'utilizzo simulato dell'applicazione o dalla distorsione causata dal contatto accidentale con l'abbigliamento"

Sebbene si tratti di un rischio plausibile, non è una vulnerabilità particolarmente pratica poiché un utente malintenzionato ha bisogno dell'accesso fisico al telefono. L'uso di un PIN il codice su un modello può ridurre la possibilità che ciò presenti una minaccia ma esiste ancora a seconda del forza del tuo PIN e la pulizia delle tue mani/schermo. Tuttavia, questi stessi ricercatori postulano un altro possibile attacco usando il residuo di calore lasciato dal contatto tra le dita e lo schermo che sarebbe un altro problema del tutto .

Ovviamente, pulire lo schermo dopo ogni utilizzo è una difesa pratica (e non troppo difficile) da questo specifico attacco. Mi aspetto che se hai usato il tuo telefono (diciamo per effettuare chiamate/inviare un messaggio/qualsiasi tipo di navigazione web), offuscherebbe sufficientemente i modelli/codici. Dall'esame del mio schermo questo sembra essere il caso.

62
NULLZ

Un modo per mitigare attacchi di sbavature su smartphone è con un'applicazione chiamata WhisperCore . Dispone i numeri in verticale e quindi ti chiede di pulire lo schermo per sbloccare il telefono, offuscando le macchie originali.

enter image description here

Se si utilizza un motivo per bloccare il telefono, dopo aver inserito il motivo corretto, si tratta di uno schermo pieno di stelle. Scorri le stelle evidenziate per sbloccare il telefono, offuscando nuovamente il modello di sbavatura originale.

enter image description here

Ovviamente, l'applicazione funziona fondamentalmente come promemoria obbligatorio per cancellare lo schermo, ma lo fa in un modo che rende meno fastidioso cancellare lo schermo ogni volta che sblocchi il telefono.

Fonte immagine: Android Police

40
Adi

C'era un documento (che proverà a trovarlo) che forniva un'ottima spiegazione di un miglioramento della sicurezza:

Utilizzando una delle cifre almeno due volte, in un codice di accesso superiore a 4 cifre

Fondamentalmente, l'opzione "swipe a pattern" è molto facile da vedere - anche a distanza può essere navigato sulle spalle. Dai un'occhiata a questo documento per alcune informazioni interessanti sulle tecniche.

Un pin a 4 cifre è ciò che la maggior parte degli utenti sceglie, se usano l'opzione pin, quindi è ciò che la maggior parte degli attaccanti proverà e tenere il telefono alla luce consente di vedere il pin abbastanza chiaramente. Se tuttavia hai un pin a 6 cifre in cui 2 delle cifre vengono usate due volte, lo spazio di attacco diventa piuttosto impegnativo, poiché l'attaccante non sa se usi un pin a 4 cifre, un 5 o anche più - è probabile che inizi con un 4 e hanno maggiori probabilità di bloccare il telefono piuttosto che entrarci.

14
Rory Alsop

Questa sarebbe una buona ragione per un altro metodo di sblocco che rendeva ogni volta l'azione di sblocco diversa. Ad esempio, anziché i numeri 0-9 sono indicati come:

7 8 9
4 5 6
1 2 3
  0

potrebbe visualizzarli come:

3 5 7
1 2 4
6 9 0
  8

Invece dei numeri, potresti usare le forme. Invece di colpire semplicemente le forme o i numeri, potresti riorganizzarli nel modello corretto, anche se sarebbe meno sicuro in quanto visualizzerebbe il modello corretto immediatamente prima che sia sbloccato; Tuttavia, se l'obiettivo fosse mettere i numeri nella matrice in un ordine in cui le somme, ecc. Di determinate righe fossero corrette, ciò potrebbe essere ancora più sicuro/meno ovvio per quelli che ti hanno visto o registrato mentre eseguivi la sequenza di sblocco.

Forse per quelli solo ipovedenti, potrebbe leggere i numeri ad alta voce (attraverso le loro cuffie). Per coloro che sono ipovedenti e non udenti, il telefono potrebbe vibrare in un certo modo quando toccano diverse parti del telefono per determinare quale numero è quale, quindi toccano qualcosa una volta che sanno quale numero è dove inserire il codice. Potresti anche far sì che blocchi i numeri in un certo orientamento e che cambi solo in un programma prestabilito per rendere meno difficile ricordare il nuovo orientamento o persino bloccarlo completamente, anche se sarebbe suscettibile all'attacco di sbavature.

12
Gary S. Weaver

Io per primo ho sempre pulito lo schermo sulla mia maglietta dopo averlo sbloccato appositamente per questo (e perché trovo fastidiosi i segni di scorrimento del dito). Sì, questo è un rischio se lo sblocchi e non continui almeno usarlo per un po 'per rovinare i segni.

Un codice PIN potrebbe aiutare alcuni, ma potresti comunque essere in grado di vedere i punti toccati che ridurrebbe notevolmente la complessità di indovinare la password. È comunque una buona idea pulire lo schermo se ci sono segni visibili.

Un altro buon contatore per questo sarebbe se aggiungessero un secondo passo veloce per tracciare un altro modello che renderebbe più difficile il riconoscimento del modello prima di sbloccarlo.

10
AJ Henderson

Ho cancellato il mio schermo ogni volta che lo accendo per un bel po 'di tempo. In parte è dovuto a questo problema e in parte per aumentare la leggibilità in presenza di abbagliamento. Ero molto interessato a scoprire che ci sono ricerche reali sull'argomento.

Mentre i touchscreen sono particolarmente inclini al problema dei residui fisici che rivelano informazioni segrete (nonostante i miglioramenti apportati ai rivestimenti oleorepellenti dello schermo), il problema può verificarsi anche con altri metodi di input. Le impronte digitali possono essere visibili sulla superficie di pulsanti (hardware), interruttori o tastiere, anche senza l'uso di attrezzature specializzate.

Anche se vengono cancellati, tuttavia, c'è un problema più permanente. Sono sicuro che abbiamo visto tutti il ​​testo che è stato cancellato, la membrana sovrapposta che è stata strappata o la placcatura che si consuma su un pulsante usato di frequente:

worn keypad

In un contesto di sicurezza, questo tipo di problema probabilmente significa che la password non viene cambiata abbastanza spesso, ma ne ho visti esempi reali. Ovviamente deve essere cambiato prima che questo degrado diventi visibile a occhio nudo. In impostazioni di sicurezza più elevate, tuttavia, probabilmente non è abbastanza. Due possibili rimedi sono l'uso di pulsanti molto durevoli e l'uniformità del numero di pressioni di ciascun pulsante prima o dopo l'inserimento della password.

7
jerry

Uso tutte e dieci le cifre esattamente una volta in un pin di dieci cifre sul mio tablet, rispetto a uno schema. Inoltre, non conservo nulla di particolare valore sul mio tablet (l'unico motivo per cui la password è presente come PIN è obbligatorio per salvare i dettagli di configurazione VPN con Android = - esclusa la mia password utente).

Nota: l'uso di una permutazione di tutte e dieci le cifre esattamente una volta riduce significativamente l'entropia. Il numero di permutazioni: 10! = 3 628 800, che equivale all'incirca a un pin lungo 6,56 caratteri, o circa 3000 volte più semplice di un pin casuale a 10 cifre.

Inoltre, trovo abbastanza facile intercettare un PIN su un touchpad quando utilizzo il mio pendolarismo su una metropolitana, ma trovo che questa sia una ragionevole difesa contro gli attacchi di sbavature.

4
dr jimbob