9月24日,亞太地區最大的安全盛會中國互聯網安全大會(ISC2014)召開,在移動安全分論壇上,來自的美國馬薩諸塞大學羅威爾分校的付新文教授做了題為《無數雙“眼睛”都看到你的密碼啦!》的演講。付新文表示,智能設備在我們的生活中無所不在,很大一部分智能設備都配有相機,這些相機可能會被惡意使用,窺覷您的隱私。為應對這種威脅,人們應該掌握一些防護措施。
圖:付新文教授在發表演講
Google眼鏡相信大家都不陌生,但說到首位google眼鏡的破解者——付新文,聽說過的人可能并不太多。在演講時,付新文通過手機攝像頭,采用識別觸摸幀、獲取Homography矩陣、定位觸摸指尖、估計觸摸區域、識別觸摸鍵等7個步驟獲取賬號密碼的等關鍵信息。令人震驚的是,這種通過攝像頭發起的攻擊方式成率還相當高,付新文半開玩笑的表示,用iPhone向iPad發起攻擊的成功率是100%,可見iPhone的攝像頭還是很不錯的。
付新文指出,在2.5米的距離內,攝像頭攻擊的首次成功率普遍高于75%,在一些特定的角度甚至能達到90以上。而通過輸入密碼驗證到第三次的時候,成功率更是達到了恐怖的97%以上。因此這種攻擊只要能拍到手指和觸摸屏,攻擊就有效。雖然由于視頻質量的參差不齊,不是每次都能自動識別視屏中的觸摸輸入,但通過手工選取精確觸摸區域等協助方式,還是能輕易獲得相應的信息。
由于這種攻擊方式非常隱蔽,而且成功率比較高,因此民眾應當具備一定的防護措施。付新文表示,智能隱私提升鍵盤(PEK)就是一種可行性比較高的防護方式。這種鍵盤輸密碼時彈出隨機鍵盤,否則顯示正常鍵盤,可干擾黑客對觸摸鍵盤位置的判斷,極大降低攻擊成功率。
在演講最后,付新文再次強調各種移動設備的相機會偷走人們的秘密。而且表示“不開玩笑的說,我們的攻擊能夠自動跟蹤手指移動從而獲取觸摸輸入,成功率很高。”而智能隱私提升鍵盤(PEK)確實可以防御此攻擊,付教授最后“賣萌”道:“親測有效哦”。
中國互聯網安全大會不僅是互聯網安全行業的盛會,更是當前安全形勢的總結,未來新型安全威脅及防御手段的前瞻大會。在移動安全論壇上,偽基站跟蹤、電子“身份證”及新的取證新技術等劃時代新科技手段一一亮相。
近幾年,移動互聯網獲得了突飛猛進的發展,而移動安全問題也成為人們關注的焦點。據360互聯網安全中心發布的《2014年第二期中國手機安全狀況報告》顯示,2014年上半年累計截獲安卓平臺新增惡意程序樣本超過84.0萬個,整體安全情況不容樂觀。
據悉,本次大會由中國互聯網協會和國家計算機網絡應急技術處理協調中心(CNCERT/CC)指導,360互聯網安全中心主辦。在移動安全分論壇上,國內外的頂級安全專家就當前移動領域所面臨的偽基站短信、蘋果設備安全性、手機木馬病毒、支付安全等方面進行深入探討。
主辦方介紹,ISC2014將成為互聯網安全行業從業者和創業者、安全專業技術人員、企事業單位和機構信息主管、網管員以及安全技術愛好者的了解安全行業和技術趨勢,把握產業和技術方向,知曉安全人才需求方向,學習最新技術和技能的平臺。
(新聞稿 2014-09-24)