Come gli hacker usano le termocamere per rubare i dati personali
Come è noto, le termocamere sono utilizzate nell'industria per vari tipi di ispezioni di qualità. Tuttavia, le termocamere disponibili in commercio possono anche essere utilizzate impropriamente per scopi criminali. I ricercatori dell'Università di Glasgow hanno ora sviluppato delle raccomandazioni su come proteggersi da questi "attacchi termici".
Le termocamere possono essere utilizzate per ricostruire e leggere le tracce delle impronte digitali su superfici come gli schermi degli smartphone, le tastiere dei computer o i touchscreen degli sportelli bancomat, ovvero ovunque venga richiesto agli utenti di inserire un codice PIN o altri dati personali. Gli hacker possono quindi utilizzare l'intensità relativa delle tracce di calore sulle superfici toccate di recente per ricostruire, ad esempio, le password. Un team di esperti di sicurezza informatica dell'Università di Glasgow ha ora sviluppato una serie di raccomandazioni per difendersi da questi "attacchi termici", che possono essere utilizzati per rubare dati personali.
Cracking delle password con le telecamere termiche e l'intelligenza artificiale
La ricerca è stata preceduta da quella del dottor Mohamed Khamis, professore presso la School of Computing Science dell'Università di Glasgow, e dei suoi colleghi. Essi hanno dimostrato la facilità con cui le immagini termiche possono essere utilizzate per decifrare le password. Il team ha sviluppato ThermoSecure, un sistema che utilizza l'intelligenza artificiale (AI) per scansionare le immagini termiche e indovinare correttamente le password in pochi secondi, avvertendo molti del pericolo degli attacchi termici. Su questa base, il team di ricerca del dottor Khamis ha creato un'indagine completa sulle strategie di sicurezza informatica esistenti e ha chiesto agli utenti le loro preferenze su come prevenire gli attacchi termici sui dispositivi di pagamento pubblici, come bancomat o biglietterie automatiche.
Misure contro gli attacchi termici
Gli autori hanno presentato i risultati della ricerca l'11 agosto 2023 alla conferenza USENIX Security Symposium di Anaheim, California. Il lavoro presentato comprende anche consigli per i produttori su come rendere più sicuri i loro dispositivi. Il team ha identificato 15 diversi approcci descritti in precedenti ricerche sulla sicurezza informatica che potrebbero ridurre il rischio di attacchi termici. Tra questi, i modi per ridurre il trasferimento di calore dalle mani degli utenti indossando guanti o cappelli di gomma per le dita, o modificando la temperatura delle mani toccando qualcosa di freddo prima di digitare. La letteratura suggerisce anche di premere le mani contro le superfici o di respirare su di esse per nascondere il calore dalle impronte digitali dopo la digitazione.
Altri suggerimenti per una maggiore sicurezza riguardano l'hardware e il software. Un elemento riscaldante dietro le superfici potrebbe cancellare le tracce del calore delle dita, oppure le superfici potrebbero essere realizzate con materiali che dissipano il calore più rapidamente. La sicurezza sulle superfici accessibili al pubblico potrebbe essere aumentata introducendo uno scudo fisico che copra i tasti finché il calore non viene dissipato. In alternativa, gli input di tracciamento oculare o la sicurezza biometrica potrebbero ridurre il rischio di attacchi termici riusciti.
Gli utenti vogliono l'autenticazione a due fattori
Dopo aver analizzato le misure di sicurezza esistenti, il team ha condotto un sondaggio online con 306 partecipanti. L'obiettivo del sondaggio era quello di identificare le preferenze degli utenti tra le strategie identificate dal team e di chiedere loro di esprimersi sulle misure di sicurezza che potrebbero applicare quando utilizzano dispositivi pubblici come bancomat o biglietterie automatiche. Il dottor Mohamed Khamis, che ha guidato lo studio, ha dichiarato: "Questa è la prima revisione completa della letteratura sulle misure di sicurezza contro gli attacchi termici e il nostro sondaggio ha rivelato alcuni risultati interessanti. Intuitivamente, gli utenti hanno suggerito alcune strategie non presenti in letteratura, come ad esempio aspettare di utilizzare un bancomat finché l'ambiente non appare più sicuro. Hanno anche favorito strategie già note, come l'autenticazione a due fattori, perché ne conoscevano l'efficacia. Abbiamo anche visto che hanno preso in considerazione questioni legate all'igiene, che hanno reso molto impopolare la strategia di respirare sui dispositivi per mascherare le tracce di calore, e alla privacy, che alcuni utenti hanno preso in considerazione quando hanno pensato a misure di sicurezza aggiuntive come il riconoscimento facciale o delle impronte digitali".
Il documento si conclude con raccomandazioni per gli utenti su come proteggersi dagli attacchi di calore in pubblico e per i produttori di dispositivi su come integrare misure di sicurezza nelle future generazioni di hardware e software. Il coautore, il Prof. Karola Marky, ora professore alla Ruhr University di Bochum, ma ancora ricercatore post-dottorato nel team di Mohamed Khamis all'epoca dello studio, consiglia agli utenti di prestare molta attenzione a ciò che li circonda quando inseriscono dati sensibili in pubblico, per assicurarsi che nessuno li stia osservando, o di utilizzare una struttura sicura come una banca. "Quando ciò non è possibile, consigliamo di appoggiare i palmi delle mani sui dispositivi per coprire i segni del calore, oppure di indossare guanti o protezioni per le dita, se possibile", ha dichiarato il Prof. Marky. "Consigliamo inoltre di utilizzare l'autenticazione a più fattori ogni volta che è possibile, in quanto protegge da una serie di attacchi diversi, compresi quelli termici, e di proteggere il più possibile tutti i fattori di autenticazione".
Anche i produttori di distributori automatici e di termocamere sono soggetti all'obbligo di acquisto.
Ai produttori di bancomat o biglietterie automatiche si consiglia di considerare la possibilità di attacchi tramite termocamere portatili già in fase di progettazione. I dispositivi dovrebbero essere dotati di schermi fisici per bloccare le superfici per un breve periodo di tempo o di tastiere che migliorano la privacy riorganizzando la posizione dei tasti dopo l'uso. Per i dispositivi già in circolazione, gli aggiornamenti del software potrebbero aiutare a ricordare agli utenti di essere consapevoli di ciò che li circonda e di adottare misure per evitare l'osservazione da parte delle telecamere termiche. "La nostra raccomandazione finale è rivolta ai produttori di termocamere, che potrebbero prevenire gli attacchi integrando nuovi blocchi software che impediscano alle termocamere di fotografare superfici come i PIN pad dei bancomat", aggiunge Mohamed Khamis. "Continuiamo a indagare sui possibili approcci per mitigare il rischio di attacchi con le termocamere. Anche se non sappiamo ancora quanto siano diffusi questi attacchi ai dati personali, è importante che i ricercatori di sicurezza informatica si tengano aggiornati sui rischi che le termocamere potrebbero rappresentare per i dati personali degli utenti, soprattutto perché ora sono così economiche e ampiamente disponibili".
Fonte: Techexplore.com / Università di Glasgow
Questo articolo è apparso originariamente su m-q.ch - https://www.m-q.ch/de/wie-hacker-waermebildkameras-nutzen-um-persoenliche-daten-zu-stehlen/
