Wie Hacker Wärmebildkameras nutzen, um persönliche Daten zu stehlen
Wärmebildkameras werden bekanntlich in der Industrie für verschiedenste Arten von Qualitätsprüfungen eingesetzt. Allerdings: Handelsübliche Wärmebildkameras lassen sich auch für kriminelle Zwecke missbrauchen. Forscher der Universität Glasgow haben nun Empfehlungen ausgearbeitet, wie man sich gegen solche „thermischen Attacken“ schützen kann.
Mit Wärmebildkameras lassen sich Spuren von Fingerabdrücken auf Oberflächen wie Smartphone-Bildschirmen, Computer-Tastaturen oder Touchscreens bei Geldautomaten rekonstruieren und lesen – also überall dort, wo Nutzerinnen oder Nutzer aufgefordert werden, einen PIN-Code oder andere persönliche Daten einzugeben. Hacker können demnach die relative Intensität von Wärmespuren auf kürzlich berührten Oberflächen nutzen, um z.B. Passwörter zu rekonstruieren. Ein Team von Computersicherheitsexperten von der Universität Glasgow hat nun eine Reihe von Empfehlungen zur Abwehr von solchen „Wärmeangriffen“ entwickelt, mit denen persönliche Daten gestohlen werden können.
Mit handlichen Wärmebildkameras und KI Passwörter knacken
Voraus gingen Untersuchungen von Dr. Mohamed Khamis, Professor an der University of Glasgow’s School of Computing Science, und seinen Kollegen. Sie zeigten, wie einfach sich Wärmebilder zum Knacken von Passwörtern nutzen lassen. Das Team entwickelte ThermoSecure, ein System, das mithilfe von künstlicher Intelligenz (KI) Wärmebilder scannt und Passwörter in Sekundenschnelle richtig errät und so viele vor der Gefahr von Wärmeangriffen warnt. Darauf aufbauend hat das Forschungsteam um Dr. Khamis eine umfassende Übersicht über bestehende Computersicherheitsstrategien erstellt und die Nutzer nach ihren Präferenzen befragt, wie thermische Angriffe auf öffentliche Zahlungsgeräte wie Geldautomaten oder Fahrkartenautomaten verhindert werden können.
Massnahmen gegen thermische Attacken
Ihre Forschungsergebnisse haben die Autorinnen und Autoren am 11. August 2023 anlässlich der Konferenz USENIX Security Symposium in Anaheim, Kalifornien, vorgestellt. Die präsentierte Arbeit enthielt auch Ratschläge für Hersteller, wie ihre Geräte sicherer gemacht werden können. Das Team ermittelte 15 verschiedene Ansätze, die in früheren Forschungsarbeiten zur Computersicherheit beschrieben wurden und das Risiko von thermischen Angriffen verringern könnten. Dazu gehörten Möglichkeiten, die Wärmeübertragung von den Händen der Benutzer zu verringern, indem Handschuhe oder Gummifingerhüte getragen werden oder die Temperatur der Hände verändert wird, indem vor dem Tippen etwas Kaltes berührt wird. In der Literatur wird auch vorgeschlagen, die Hände gegen Oberflächen zu drücken oder sie anzuhauchen, um die Wärme der Fingerabdrücke nach dem Tippen zu verbergen.
Andere Vorschläge für mehr Sicherheit betrafen Hardware und Software. Ein Heizelement hinter den Oberflächen könnte die Spuren der Fingerwärme auslöschen, oder die Oberflächen könnten aus Materialien bestehen, die die Wärme schneller ableiten. Die Sicherheit auf öffentlich zugänglichen Oberflächen könnte durch die Einführung einer physischen Abschirmung erhöht werden, die die Tasten abdeckt, bis die Wärme abgeleitet ist. Alternativ könnten Eingaben mit Blickverfolgung oder biometrische Sicherheit das Risiko erfolgreicher thermischer Attacken verringern.
Nutzer/-innen wünschen sich Zwei-Faktor-Authentifizierung
Nach der Untersuchung der bestehenden Sicherheitsmassnahmen führte das Team eine Online-Umfrage mit 306 Teilnehmern durch. Ziel der Umfrage war es, die Präferenzen der Nutzer unter den vom Team ermittelten Strategien zu ermitteln und sie nach ihren eigenen Gedanken über Sicherheitsmassnahmen zu fragen, die sie bei der Nutzung öffentlicher Geräte wie Bank- oder Ticketautomaten anwenden könnten. Dr. Mohamed Khamis, der diese Studie leitete, lässt sich dazu wie folgt zitieren: „Dies ist die erste umfassende Literaturübersicht über Sicherheitsmassnahmen gegen thermische Angriffe, und unsere Umfrage ergab einige interessante Ergebnisse. Intuitiv schlugen die Benutzer einige Strategien vor, die in der Literatur nicht zu finden waren, wie z. B. mit der Benutzung eines Geldautomaten zu warten, bis die Umgebung am sichersten erscheint. Sie sprachen sich auch für bereits bekannte Strategien wie die Zwei-Faktor-Authentifizierung aus, weil sie sich ihrer Wirksamkeit bewusst waren. Wir sahen auch, dass sie Fragen rund um die Hygiene berücksichtigten, was die Strategie des Anhauchens von Geräten zur Maskierung von Wärmespuren sehr unbeliebt machte, und die Privatsphäre, die einige Nutzer in Betracht zogen, als sie über zusätzliche Sicherheitsmassnahmen wie Gesichts- oder Fingerabdruckerkennung nachdachten.“
Das Papier schliesst mit Empfehlungen für Nutzer, wie sie sich gegen Wärmeangriffe in der Öffentlichkeit schützen können, und für Gerätehersteller, wie Sicherheitsmassnahmen in zukünftige Generationen von Hard- und Software eingebaut werden könnten. Mitautorin Prof. Karola Marky, jetzt tätig als Professorin an der Ruhr-Universität in Bochum, aber zum Zeitpunkt der Studie noch Postdoktorandin im Team von Mohamed Khamis, rät den Nutzerinnen und Nutzern, bei der Eingabe sensibler Daten in der Öffentlichkeit genau auf ihre Umgebung zu achten, um sicherzustellen, dass niemand zusieht, oder eine sichere Einrichtung wie eine Bank zu benutzen. „Wo dies nicht möglich ist, empfehlen wir, die Handflächen auf die Geräte zu legen, um Wärmespuren zu verdecken, oder Handschuhe oder Fingerschutz zu tragen, wenn dies möglich ist,“ so Prof. Marky. „Wir raten ausserdem dazu, wenn immer möglich eine Multi-Faktor-Authentifizierung zu verwenden, da diese vor einer Reihe verschiedener Angriffe, einschliesslich thermischer Angriffe, schützt, und alle Authentifizierungsfaktoren so gut wie möglich zu schützen.“
Auch Hersteller von Automaten und Wärmebildkameras in der Pflicht
Herstellern von Geld- oder Ticketautomaten wird empfohlen, die Möglichkeiten von Angriffen via handlicher Wärmebildkameras schon in der Entwurfsphase zu berücksichtigen. Geräte sollen mit physischen Bildschirmen ausgestattet werden, um die Oberflächen für eine kurze Zeit zu blockieren, oder mit Tastaturen, die die Privatsphäre verbessern, indem sie die Anordnung der Tasten nach der Benutzung umstellen. Bei Geräten, die bereits im Umlauf sind, könnten Software-Updates dazu beitragen, die Nutzer daran zu erinnern, auf ihre Umgebung zu achten und Massnahmen zu ergreifen, um eine Beobachtung durch Wärmekameras zu verhindern. „Unsere letzte Empfehlung richtet sich an die Hersteller von Wärmebildkameras, die Angriffe verhindern könnten, indem sie neue Softwaresperren integrieren, die verhindern, dass Wärmebildkameras Bilder von Oberflächen wie PIN-Pads an Bankautomaten machen“, ergänzt Mohamed Khamis. „Wir untersuchen weiterhin mögliche Ansätze, um das Risiko von Wärmebildangriffen zu mindern. Auch wenn wir noch nicht wissen, wie weit verbreitet diese Angriffe auf persönliche Daten derzeit sind, ist es wichtig, dass die Computersicherheitsforscher mit den Risiken Schritt halten, die Wärmebildkameras für die persönlichen Daten der Nutzer darstellen könnten, zumal sie inzwischen so billig und weit verbreitet sind.“
Quelle: Techexplore.com / University of Glasgow
Dieser Beitrag erschien ursprünglich auf m-q.ch - https://www.m-q.ch/de/wie-hacker-waermebildkameras-nutzen-um-persoenliche-daten-zu-stehlen/