lunes, julio 07, 2014

Shoulder Surfing con Google Glass para robar el passcode

Esta semana pasada me topé con un artículo publicado en la revista Wired en el que hablaba de cómo los riesgos de privacidad que pueden venir asociados con Google Glass son tan grandes como que son la herramienta perfecta para el shoulder surfing. Una cámara apuntada hacia todo lo que una persona está haciendo, por ejemplo poner el passcode o el PIN de acceso a un iPhone o un terminal Android, y averiguarlo.

Figura 1: Foto del laboratorio de CiberSeguridad de la Universidad de Massachusetts describiendo el ataque

La idea es que no es necesario nada más que ver el movimiento de los dedos al pulsar los caracteres que forman parte del passcode y sacar el valor con una simple app instalada en las Google Glass. Este concepto no es nada más que un porting a las gafas de Google de ideas y software similar al que ya existía para terminales iOS (iPhone/iPad) con jailbreak llamada ShoulderPad.


Figura 2: Vídeo demo del reconocimiento de pulsaciones de teclado en iPad con ShoulderPad

Esta herramienta, ShoulderPad, debe grabar las pulsaciones del teclado para reconocer qué teclas se están introduciendo procesando el vídeo frame a frame, pero como se explica en el libro de hacking iOS: iPhone & iPad hace tiempo se publicó el trabajo de iSpy, que era capaz de reconstruir las pulsaciones del teclado desde reflejos deformados en los que las luces de la pantalla se estuvieran reflejando.


Figura 3: Vídeo demo de iSpy en el que se reconstruye el teclado desde reflejos

Ahora, usar Google Glass le da un punto de modernidad y discreción, además de que al fijarse en los movimientos de los dedos en lugar del teclado, lo hace más fácil para el atacante y más difícil de detectar para la víctima, que si se normaliza el uso de Google Glass puede que no sospeche nada

Al final el problema es siempre el mismo que te puedan grabar introduciendo el passcode al terminal con cualquier cámara, ya que van a poder reconstruir siempre tu PIN de acceso. Edward Snowden contaba en The Guardian que no podía el passcode de ningún dispositivo si no estaba oculto bajo una capucha todo el terminal, al estilo de las "bromas" que tantas veces se han hecho al respecto. Su preocupación era que cualquier cámara de seguridad o cualquier dispositivo de vigilancia pudiera llegar a localizar sus pulsaciones y sacar sus claves.
En el trabajo publicado por Xinwen Fu dicen que con una cámara, su software les permite reconstruir el passcode con distancias de casi medio centenar de metros, solo grabando los movimientos de los dedos al pulsar las teclas.

Figura 5: El sistema descubre el passcode si se graba con una cámara desde decenas de metros

Como forma de solucionar este ataque, lo que propone es que el teclado que se usa para introducir el passcode nunca muestre los números en las mismas posiciones, al estilo de lo que han hecho desde hace tiempo muchas entidades bancarias con el teclado virtual en las aplicaciones. Ese cambio acabaría con muchos de los problemas de cámaras, que necesitarían reconocer el número mostrado en la pantalla, además de reconocer la posición de la pulsación.

Figura 6: Demostración de cómo graba las pulsaciones para poder reconocer el passcode

Lo cierto es que a todas las técnicas conocidas para saltarse el passcode de un terminal, hay que añadir que a día de hoy una grabación en vídeo con ShoulderPad, con iSpy o con las Google Glass cuando se esté introduciendo ese valor, sería más que suficiente, por lo que cuanto más complejo sea tu passcode, mejor que mejor. Por otro lado, el uso de biometría, tal y como sucede con Apple Touch ID, permite evitar este problema pero trae otros riesgos. Nada hay perfecto.

Saludos Malignos!

1 comentario: