付新文:手指敲密碼動作可被視覺新技術破譯
- 發佈時間:2014-09-25 11:07:07 來源:中國網財經 責任編輯:湯婧
中國網財經9月25日訊 2014中國網際網路安全大會(ISC2014)昨天在京召開。在移動安全分論壇上,美國馬薩諸塞大學羅威爾分校的付新文教授做了題為《無數雙“眼睛”都看到你的密碼啦!》的演講。付新文表示,智慧設備在我們的生活中無所不在,很大一部分智慧設備都配有相機,這些相機可能會被惡意使用,窺覷您的隱私。為應對這種威脅,人們應該掌握一些防護措施。
圖:付新文教授在發表演講
Google眼鏡相信大家都不陌生,但説到首位google眼鏡的破解者——付新文,聽説過的人可能並不太多。在演講時,付新文通過手機攝像頭,採用識別觸摸幀、獲取Homography矩陣、定位觸摸指尖、估計觸摸區域、識別觸摸鍵等7個步驟獲取賬號密碼的等關鍵資訊。這種通過攝像頭髮起的攻擊方式成率相當高,付新文表示,用iPhone向iPad發起攻擊的成功率是100%,可見iPhone的攝像頭還是很不錯的。
付新文指出,在2.5米的距離內,攝像頭攻擊的首次成功率普遍高於75%,在一些特定的角度甚至能達到90以上。而通過輸入密碼驗證到第三次的時候,成功率更是達到了恐怖的97%以上。因此這種攻擊只要能拍到手指和觸摸屏,攻擊就有效。雖然由於視頻品質的參差不齊,不是每次都能自動識別視屏中的觸摸輸入,但通過手工選取精確觸摸區域等協助方式,還是能輕易獲得相應的資訊。
由於這種攻擊方式非常隱蔽,而且成功率比較高,因此民眾應當具備一定的防護措施。付新文表示,智慧隱私提升鍵盤(PEK)就是一種可行性比較高的防護方式。這種鍵盤輸密碼時彈出隨機鍵盤,否則顯示正常鍵盤,可干擾駭客對觸摸鍵盤位置的判斷,極大降低攻擊成功率。
在演講最後,付新文再次強調各種移動設備的相機會偷走人們的秘密。而且表示“不開玩笑的説,我們的攻擊能夠自動跟蹤手指移動從而獲取觸摸輸入,成功率很高。”而智慧隱私提升鍵盤(PEK)確實可以防禦此攻擊。