Comment les pirates utilisent les caméras thermiques pour voler des données personnelles
Les caméras thermiques sont utilisées dans l'industrie pour différents types de contrôles de qualité. Toutefois, les caméras thermiques disponibles dans le commerce peuvent également être utilisées à des fins criminelles. Des chercheurs de l'université de Glasgow ont élaboré des recommandations sur la manière de se protéger contre de telles "attaques thermiques".
Mit Wärmebildkameras lassen sich Spuren von Fingerabdrücken auf Oberflächen wie Smartphone-Bildschirmen, Computer-Tastaturen oder Touchscreens bei Geldautomaten rekonstruieren und lesen – also überall dort, wo Nutzerinnen oder Nutzer aufgefordert werden, einen PIN-Code oder andere persönliche Daten einzugeben. Hacker können demnach die relative Intensität von Wärmespuren auf kürzlich berührten Oberflächen nutzen, um z.B. Passwörter zu rekonstruieren. Ein Team von Computersicherheitsexperten von der Universität Glasgow hat nun eine Reihe von Empfehlungen zur Abwehr von solchen „Wärmeangriffen“ entwickelt, mit denen persönliche Daten gestohlen werden können.
Craquer des mots de passe avec des caméras thermiques pratiques et l'IA
Voraus gingen Untersuchungen von Dr. Mohamed Khamis, Professor an der University of Glasgow’s School of Computing Science, und seinen Kollegen. Sie zeigten, wie einfach sich Wärmebilder zum Knacken von Passwörtern nutzen lassen. Das Team entwickelte ThermoSecure, un système qui utilise l'intelligence artificielle (IA) pour scanner des images thermiques et deviner correctement les mots de passe en quelques secondes, avertissant ainsi un grand nombre de personnes du risque d'attaques thermiques. Sur cette base, l'équipe de recherche du Dr Khamis a dressé un aperçu complet des stratégies de sécurité informatique existantes et a interrogé les utilisateurs sur leurs préférences en matière de prévention des attaques thermiques contre les appareils de paiement publics tels que les distributeurs automatiques de billets ou les distributeurs de tickets.
Mesures contre les attaques thermiques
Les auteurs ont présenté les résultats de leurs recherches le 11 août 2023 à l'occasion de la conférence USENIX Security Symposium à Anaheim, en Californie. Le travail présenté contenait également des conseils aux fabricants sur la manière de rendre leurs appareils plus sûrs. L'équipe a identifié 15 approches différentes, décrites dans des recherches antérieures sur la sécurité informatique, qui pourraient réduire le risque d'attaques thermiques. Parmi ces approches figuraient des moyens de réduire le transfert de chaleur des mains des utilisateurs en portant des gants ou des protège-doigts en caoutchouc, ou de modifier la température des mains en touchant quelque chose de froid avant de taper. La littérature suggère également d'appuyer les mains contre des surfaces ou de souffler dessus afin de dissimuler la chaleur des empreintes digitales après la frappe.
D'autres propositions pour une sécurité accrue concernaient le matériel et les logiciels. Un élément chauffant placé derrière les surfaces pourrait effacer les traces de la chaleur des doigts, ou les surfaces pourraient être constituées de matériaux qui dissipent la chaleur plus rapidement. La sécurité sur les surfaces accessibles au public pourrait être renforcée par l'introduction d'un blindage physique qui recouvrirait les touches jusqu'à ce que la chaleur soit dissipée. Alternativement, la saisie par suivi du regard ou la sécurité biométrique pourraient réduire le risque d'attaques thermiques réussies.
Les utilisateurs souhaitent une authentification à deux facteurs
Nach der Untersuchung der bestehenden Sicherheitsmassnahmen führte das Team eine Online-Umfrage mit 306 Teilnehmern durch. Ziel der Umfrage war es, die Präferenzen der Nutzer unter den vom Team ermittelten Strategien zu ermitteln und sie nach ihren eigenen Gedanken über Sicherheitsmassnahmen zu fragen, die sie bei der Nutzung öffentlicher Geräte wie Bank- oder Ticketautomaten anwenden könnten. Dr. Mohamed Khamis, der diese Studie leitete, lässt sich dazu wie folgt zitieren: „Dies ist die erste umfassende Literaturübersicht über Sicherheitsmassnahmen gegen thermische Angriffe, und unsere Umfrage ergab einige interessante Ergebnisse. Intuitiv schlugen die Benutzer einige Strategien vor, die in der Literatur nicht zu finden waren, wie z. B. mit der Benutzung eines Geldautomaten zu warten, bis die Umgebung am sichersten erscheint. Sie sprachen sich auch für bereits bekannte Strategien wie die Zwei-Faktor-Authentifizierung aus, weil sie sich ihrer Wirksamkeit bewusst waren. Wir sahen auch, dass sie Fragen rund um die Hygiene berücksichtigten, was die Strategie des Anhauchens von Geräten zur Maskierung von Wärmespuren sehr unbeliebt machte, und die Privatsphäre, die einige Nutzer in Betracht zogen, als sie über zusätzliche Sicherheitsmassnahmen wie Gesichts- oder Fingerabdruckerkennung nachdachten.“
Das Papier schliesst mit Empfehlungen für Nutzer, wie sie sich gegen Wärmeangriffe in der Öffentlichkeit schützen können, und für Gerätehersteller, wie Sicherheitsmassnahmen in zukünftige Generationen von Hard- und Software eingebaut werden könnten. Mitautorin Prof. Karola Marky, jetzt tätig als Professorin an der Ruhr-Universität in Bochum, aber zum Zeitpunkt der Studie noch Postdoktorandin im Team von Mohamed Khamis, rät den Nutzerinnen und Nutzern, bei der Eingabe sensibler Daten in der Öffentlichkeit genau auf ihre Umgebung zu achten, um sicherzustellen, dass niemand zusieht, oder eine sichere Einrichtung wie eine Bank zu benutzen. „Wo dies nicht möglich ist, empfehlen wir, die Handflächen auf die Geräte zu legen, um Wärmespuren zu verdecken, oder Handschuhe oder Fingerschutz zu tragen, wenn dies möglich ist,“ so Prof. Marky. „Wir raten ausserdem dazu, wenn immer möglich eine Multi-Faktor-Authentifizierung zu verwenden, da diese vor einer Reihe verschiedener Angriffe, einschliesslich thermischer Angriffe, schützt, und alle Authentifizierungsfaktoren so gut wie möglich zu schützen.“
Les fabricants d'automates et de caméras thermiques également mis à contribution
Herstellern von Geld- oder Ticketautomaten wird empfohlen, die Möglichkeiten von Angriffen via handlicher Wärmebildkameras schon in der Entwurfsphase zu berücksichtigen. Geräte sollen mit physischen Bildschirmen ausgestattet werden, um die Oberflächen für eine kurze Zeit zu blockieren, oder mit Tastaturen, die die Privatsphäre verbessern, indem sie die Anordnung der Tasten nach der Benutzung umstellen. Bei Geräten, die bereits im Umlauf sind, könnten Software-Updates dazu beitragen, die Nutzer daran zu erinnern, auf ihre Umgebung zu achten und Massnahmen zu ergreifen, um eine Beobachtung durch Wärmekameras zu verhindern. „Unsere letzte Empfehlung richtet sich an die Hersteller von Wärmebildkameras, die Angriffe verhindern könnten, indem sie neue Softwaresperren integrieren, die verhindern, dass Wärmebildkameras Bilder von Oberflächen wie PIN-Pads an Bankautomaten machen“, ergänzt Mohamed Khamis. „Wir untersuchen weiterhin mögliche Ansätze, um das Risiko von Wärmebildangriffen zu mindern. Auch wenn wir noch nicht wissen, wie weit verbreitet diese Angriffe auf persönliche Daten derzeit sind, ist es wichtig, dass die Computersicherheitsforscher mit den Risiken Schritt halten, die Wärmebildkameras für die persönlichen Daten der Nutzer darstellen könnten, zumal sie inzwischen so billig und weit verbreitet sind.“
Source : Techexplore.com / Université de Glasgow
Cet article est paru initialement sur m-q.ch - https://www.m-q.ch/de/wie-hacker-waermebildkameras-nutzen-um-persoenliche-daten-zu-stehlen/
