Touch Screen Password Guessing di Fingerprint Trace

Questo è noto come "Smudge Attack"

Dipende molto da quanto hai usato il telefono da quando lo hai sbloccato, ma il principio generale rimane valido. Se si utilizza la funzione di modello dei telefoni Android, questo può essere particolarmente evidente.

L'Università della Pennsylvania ha pubblicato un documento di ricerca sull'argomento e ha sostanzialmente concluso che potevano capire la password oltre il 90% delle volte.

Lo studio ha anche scoperto che le "macchie di pattern", che si accumulano scrivendo la stessa password numerose volte, sono particolarmente riconoscibili.

Inoltre:

“We showed that in many situations full or partial pattern recovery is possible, even with smudge ‘noise’ from simulated application usage or distortion caused by incidental clothing contact,”

Sebbene questo sia un rischio plausibile, non è una vulnerabilità particolarmente pratica in quanto un utente malintenzionato ha bisogno di un accesso fisico al telefono. L'uso di un codice PIN su un pattern può ridurre la possibilità che questo presenti una minaccia ma esiste ancora a seconda della forza del PIN e della pulizia delle mani / dello schermo. Tuttavia, questi stessi ricercatori postulano un altro possibile attacco usando il residuo di calore lasciato dal contatto tra le dita e lo schermo che sarebbe un altro problema.

Ovviamente, pulire lo schermo dopo ogni utilizzo è una difesa pratica (e non troppo difficile) contro questo specifico attacco. Mi sarei aspettato che se avessi usato il tuo telefono (per esempio per effettuare chiamate / inviare un messaggio / qualsiasi tipo di navigazione sul web), avrebbe anche sufficientemente offuscato i modelli / codici. Dall'esame del mio schermo questo sembra essere il caso.

Un modo per attenuare gli attacchi di sbavature sugli smartphone è con un'applicazione chiamata WhisperCore . Organizza i numeri verticalmente e chiede quindi di pulire lo schermo per sbloccare il telefono, offuscando le macchie originali.

Sesiutilizzaunmotivoperbloccareiltelefono,dopoaverimmessoilmodellocorretto,siottieneunoschermopienodistelle.Scorrilestelleevidenziatepersbloccareiltelefono,dinuovooffuscandoilmotivodellamacchiaoriginale.

Ovviamente, l'applicazione funziona fondamentalmente come un promemoria obbligatorio per cancellare lo schermo, ma lo fa in un modo che rende meno fastidioso cancellare lo schermo ogni volta che si sblocca il telefono.

Fonte immagine: Polizia Android

C'era un documento (cercherà di trovarlo) che ha fornito un'ottima spiegazione di un miglioramento della sicurezza:

Utilizzo di una delle cifre almeno due volte, in un codice di accesso di più di 4 cifre

Fondamentalmente, l'opzione "scorri un motivo" è molto facile da vedere - anche a una distanza che può essere portata a spalla. Dai un'occhiata a questo documento per alcune informazioni interessanti su tecniche.

Un pin a 4 cifre è ciò che molti utenti scelgono, se usano l'opzione pin, quindi è ciò che la maggior parte degli attaccanti proverà e tenere il telefono alla luce consente di vedere il pin abbastanza chiaramente. Se invece hai un piedino a 6 cifre in cui due cifre vengono usate due volte, lo spazio di attacco diventa piuttosto impegnativo, poiché l'attaccante non sa se usi un pin a 4 cifre, un 5 o anche più - è probabile che inizino con un 4 e hanno maggiori probabilità di bloccare il telefono piuttosto che entrarci.

Questa sarebbe una buona ragione per un altro metodo di sblocco che ha reso l'azione di sblocco diversa ogni volta. Ad esempio, invece dei numeri 0-9 disposti come:

7 8 9
4 5 6
1 2 3
  0

potrebbe visualizzarli come:

3 5 7
1 2 4
6 9 0
  8

Al posto dei numeri, potresti usare le forme. Invece di colpire solo le forme oi numeri, è possibile riordinarli nel modello corretto, anche se ciò sarebbe meno sicuro in quanto mostrerebbe il modello corretto immediatamente prima che sia sbloccato; Tuttavia, se l'obiettivo fosse di mettere i numeri nella matrice in un ordine in cui le somme, ecc. Di determinate righe fossero corrette, ciò potrebbe essere ancora più sicuro / meno ovvio per quelli che hanno visto o registrato l'esecuzione della sequenza di sblocco.

Forse per i soli ipovedenti, potrebbe leggere i numeri ad alta voce (attraverso le cuffie). Per coloro che sono ipovedenti e ipoudenti, il telefono potrebbe vibrare in un certo modo quando toccano diverse parti del telefono per determinare quale numero è, quindi toccano qualcosa una volta che sanno quale numero è dove inserire il codice. Si potrebbe anche fare in modo che blocchi i numeri in un determinato orientamento e cambi solo in base a un programma prestabilito per rendere meno difficile ricordare il nuovo orientamento, o addirittura bloccarlo completamente, anche se sarebbe soggetto a un attacco di sbavatura. p>     

Io per primo ho sempre cancellato il mio schermo sulla mia maglietta dopo averla sbloccata appositamente per questo motivo (e perché trovo fastidioso lo sfioramento delle dita.) Ma sì, questo è un grosso rischio se lo sblocchi e non lo fai almeno continua a usarlo per un po 'per rovinare i segni.

Un codice pin potrebbe essere d'aiuto, ma potresti comunque essere in grado di vedere gli spot toccati che ridurrebbero notevolmente la complessità di indovinare la password. È comunque consigliabile pulire lo schermo se sono presenti segni visibili.

Un altro buon contatore sarebbe se aggiungessero un secondo passo rapido per tracciare un altro pattern che renderebbe più difficile riconoscere lo schema prima di sbloccarlo.

Ho cancellato il mio schermo ogni volta che lo accendo per un po 'di tempo. In parte è dovuto a questo problema e in parte per aumentare la leggibilità in presenza di abbagliamento. Ero molto interessato a scoprire che ci sono ricerche reali sul tema.

Mentre i touch screen sono particolarmente inclini al problema dei residui fisici che rivelano informazioni segrete (nonostante i miglioramenti apportati ai rivestimenti per schermi oleofobici), il problema può verificarsi anche con altri metodi di input . Le impronte digitali possono essere visibili sulla superficie di pulsanti (hardware), interruttori o tastiere, anche senza l'uso di attrezzature specializzate.

Anche se sono stati cancellati, tuttavia, c'è un problema più permanente. Sono sicuro che tutti abbiamo visto il testo che è stato cancellato, la membrana sovrapposta che si è strappata o la placcatura che si consuma su un pulsante usato di frequente:

In un contesto di sicurezza, questo tipo di problema probabilmente significa che la password non viene cambiata abbastanza spesso, ma ne ho visto esempi reali. Ovviamente deve essere cambiato prima che questo degrado diventi visibile ad occhio nudo. Nelle impostazioni di sicurezza più elevate, tuttavia, probabilmente non è abbastanza. Due possibili rimedi consistono nell'utilizzare pulsanti molto durevoli e uniformare il numero di pressioni di ciascun pulsante prima o dopo aver inserito la password.

Uso tutte e dieci le cifre esattamente una volta su un pin di dieci cifre sul mio tablet, rispetto a un modello. Inoltre, non conservo nulla di particolare valore sul mio tablet (l'unica ragione per cui la password è presente come PIN è obbligatoria per salvare i dettagli della configurazione VPN con Android - esclusa la mia password utente).

Nota: l'uso di una permutazione di tutte e dieci le cifre esattamente una volta riduce significativamente l'entropia. Il numero di permutazioni: 10! = 3 628 800, che è approssimativamente equivalente a un pin di 6,56 caratteri, o circa 3000 volte più facile di un pin casuale a 10 cifre.

Inoltre, trovo che sia abbastanza facile intercettare un PIN su un touchpad quando utilizzo il mio tablet in una metropolitana, ma ritengo che sia una difesa ragionevole contro gli attacchi di sbavature.