How hackers use thermal imaging cameras to steal personal data

Mit Wärmebildkameras lassen sich Spuren von Fingerabdrücken auf Oberflächen wie Smartphone-Bildschirmen, Computer-Tastaturen oder Touchscreens bei Geldautomaten rekonstruieren und lesen – also überall dort, wo Nutzerinnen oder Nutzer aufgefordert werden, einen PIN-Code oder andere persönliche Daten einzugeben. Hacker können demnach die relative Intensität von Wärmespuren auf kürzlich berührten Oberflächen nutzen, um z.B. Passwörter zu rekonstruieren. Ein Team von Computersicherheitsexperten von der Universität Glasgow hat nun eine Reihe von Empfehlungen zur Abwehr von solchen „Wärmeangriffen“ entwickelt, mit denen persönliche Daten gestohlen werden können.

Cracking passwords with handy thermal imaging cameras and AI

Voraus gingen Untersuchungen von Dr. Mohamed Khamis, Professor an der University of Glasgow’s School of Computing Science, und seinen Kollegen. Sie zeigten, wie einfach sich Wärmebilder zum Knacken von Passwörtern nutzen lassen. Das Team entwickelte ThermoSecure, a system that uses artificial intelligence (AI) to scan thermal images and correctly guess passwords in seconds, alerting many to the threat of thermal attacks. Based on this, Dr. Khamis' research team conducted a comprehensive survey of existing computer security strategies and asked users for their preferences on how to prevent thermal attacks on public payment devices such as ATMs and ticket machines.

Measures against thermal attacks

The authors presented their research findings on August 11, 2023, at the USENIX Security Symposium conference in Anaheim, California. The work presented also included advice for manufacturers on how to make their devices more secure. The team identified 15 different approaches described in previous computer security research that could reduce the risk of thermal attacks. These included ways to reduce heat transfer from users' hands by wearing gloves or rubber finger hats, or changing the temperature of the hands by touching something cold before typing. The literature also suggested pressing the hands against surfaces or breathing on them to hide the heat from fingerprints after typing.

Other suggestions for more security involved hardware and software. A heating element behind surfaces could erase traces of finger heat, or surfaces could be made of materials that dissipate heat more quickly. Security on publicly accessible surfaces could be enhanced by introducing a physical shield that covers the keys until the heat is dissipated. Alternatively, eye-tracking inputs or biometric security could reduce the risk of successful thermal attacks.

Users want two-factor authentication

Nach der Untersuchung der bestehenden Sicherheitsmassnahmen führte das Team eine Online-Umfrage mit 306 Teilnehmern durch. Ziel der Umfrage war es, die Präferenzen der Nutzer unter den vom Team ermittelten Strategien zu ermitteln und sie nach ihren eigenen Gedanken über Sicherheitsmassnahmen zu fragen, die sie bei der Nutzung öffentlicher Geräte wie Bank- oder Ticketautomaten anwenden könnten. Dr. Mohamed Khamis, der diese Studie leitete, lässt sich dazu wie folgt zitieren: „Dies ist die erste umfassende Literaturübersicht über Sicherheitsmassnahmen gegen thermische Angriffe, und unsere Umfrage ergab einige interessante Ergebnisse. Intuitiv schlugen die Benutzer einige Strategien vor, die in der Literatur nicht zu finden waren, wie z. B. mit der Benutzung eines Geldautomaten zu warten, bis die Umgebung am sichersten erscheint. Sie sprachen sich auch für bereits bekannte Strategien wie die Zwei-Faktor-Authentifizierung aus, weil sie sich ihrer Wirksamkeit bewusst waren. Wir sahen auch, dass sie Fragen rund um die Hygiene berücksichtigten, was die Strategie des Anhauchens von Geräten zur Maskierung von Wärmespuren sehr unbeliebt machte, und die Privatsphäre, die einige Nutzer in Betracht zogen, als sie über zusätzliche Sicherheitsmassnahmen wie Gesichts- oder Fingerabdruckerkennung nachdachten.“

Das Papier schliesst mit Empfehlungen für Nutzer, wie sie sich gegen Wärmeangriffe in der Öffentlichkeit schützen können, und für Gerätehersteller, wie Sicherheitsmassnahmen in zukünftige Generationen von Hard- und Software eingebaut werden könnten. Mitautorin Prof. Karola Marky, jetzt tätig als Professorin an der Ruhr-Universität in Bochum, aber zum Zeitpunkt der Studie noch Postdoktorandin im Team von Mohamed Khamis, rät den Nutzerinnen und Nutzern, bei der Eingabe sensibler Daten in der Öffentlichkeit genau auf ihre Umgebung zu achten, um sicherzustellen, dass niemand zusieht, oder eine sichere Einrichtung wie eine Bank zu benutzen. „Wo dies nicht möglich ist, empfehlen wir, die Handflächen auf die Geräte zu legen, um Wärmespuren zu verdecken, oder Handschuhe oder Fingerschutz zu tragen, wenn dies möglich ist,“ so Prof. Marky. „Wir raten ausserdem dazu, wenn immer möglich eine Multi-Faktor-Authentifizierung zu verwenden, da diese vor einer Reihe verschiedener Angriffe, einschliesslich thermischer Angriffe, schützt, und alle Authentifizierungsfaktoren so gut wie möglich zu schützen.“

Manufacturers of vending machines and thermal imaging cameras also under obligation

Herstellern von Geld- oder Ticketautomaten wird empfohlen, die Möglichkeiten von Angriffen via handlicher Wärmebildkameras schon in der Entwurfsphase zu berücksichtigen. Geräte sollen mit physischen Bildschirmen ausgestattet werden, um die Oberflächen für eine kurze Zeit zu blockieren, oder mit Tastaturen, die die Privatsphäre verbessern, indem sie die Anordnung der Tasten nach der Benutzung umstellen. Bei Geräten, die bereits im Umlauf sind, könnten Software-Updates dazu beitragen, die Nutzer daran zu erinnern, auf ihre Umgebung zu achten und Massnahmen zu ergreifen, um eine Beobachtung durch Wärmekameras zu verhindern. „Unsere letzte Empfehlung richtet sich an die Hersteller von Wärmebildkameras, die Angriffe verhindern könnten, indem sie neue Softwaresperren integrieren, die verhindern, dass Wärmebildkameras Bilder von Oberflächen wie PIN-Pads an Bankautomaten machen“, ergänzt Mohamed Khamis. „Wir untersuchen weiterhin mögliche Ansätze, um das Risiko von Wärmebildangriffen zu mindern. Auch wenn wir noch nicht wissen, wie weit verbreitet diese Angriffe auf persönliche Daten derzeit sind, ist es wichtig, dass die Computersicherheitsforscher mit den Risiken Schritt halten, die Wärmebildkameras für die persönlichen Daten der Nutzer darstellen könnten, zumal sie inzwischen so billig und weit verbreitet sind.“

Source: Techexplore.com / University of Glasgow

This article originally appeared on m-q.ch - https://www.m-q.ch/de/wie-hacker-waermebildkameras-nutzen-um-persoenliche-daten-zu-stehlen/