谷歌眼鏡助紂為虐? 竟可幫助黑客識別用戶密碼
責編:admin |2014-07-09 15:46:39還記得小時候考試時背后會偷偷摸摸站著另外一名同學偷看你答題內容的情形嗎?如果你已經不記得的話那也沒關系,因為一種新形勢的類似偷竊行為正在展開,那就是利用最新的谷歌(微博)眼鏡“偷窺”功能來盜取用戶密碼。
馬薩諸塞大學(University of Massachusetts)網絡犯罪專家發現日前就找到了可以利用谷歌眼鏡視頻錄制功能盜取用戶智能手機密碼,從而進入用戶手機帳戶,并盜取手機數據的方法。而且,這些犯罪專家發現黑客甚至可以站在十英尺以外的地方通過這一設備及其內置應用獲悉用戶的帳戶密碼。
據悉,這些安全研究專家設計出了一種可以標記出用戶手指在智能手機或者平板電腦上輸入文字時陰影位置的微型地圖應用。然后,他們便可以利用應用的內置算法將這些陰影區域翻譯成具體的鍵位,并最終成功進入設備系統之中。而且,研究人員曾將這一密碼破譯方法在蘋果iPad、谷歌Nexus 7和iPhone 5中分別進行了實驗,且均獲得了成功。
“我們甚至可以得到用戶的銀行帳戶密碼。”美國馬薩諸塞大學羅威爾校區計算機科學教授付心文(Xinwen Fu,音譯)說道。
付心文表示,這一密碼破解應用可以兼容許多設備,其中包括谷歌眼鏡、可拍攝視頻內容的手機以及網絡攝像頭等。而且,該應用可以破解最遠在140英尺以外拍攝的密碼輸入視頻。當然,如果有陌生人突然將攝像頭伸到你面前的話,你肯定將有所警惕,但可穿戴計算設備在近期的快速崛起卻在另一方面使這一設想變成了可能。
舉例來說,佩戴智能手表的黑客可以在絲毫不引起他人注意的情況下在咖啡廳拍攝下用戶輸入密碼的畫面。
對此,付心文認為谷歌眼鏡或許是在這一領域最具顛覆性意義的產品。
“盜取密碼成功與否的最主要因素就在于拍攝角度,因為黑客需要調整角度來拍攝到最理想的畫面。換句話說,只要他們能拍到你的手指,你的密碼就面臨著被盜的風險。”付心文說道。
谷歌方面表示,自己在設計谷歌眼鏡這一產品的時候就一直將隱私安全放在十分重要的位置,因此該設備在錄制視頻的時候會有著十分清晰的提示。
“不幸的是,目前通過觀察人們輸入ATM銀行密碼或者筆記本帳戶而盜取密碼方式已經變得稀松平常。但事實上,谷歌眼鏡在激活使用后會自動點亮自己的屏幕,因此它十分容易會被他人當成一款煩人的監視設備。”一名谷歌發言人在一份聲明中說道。
對于這一情況,美國媒體CNN就在自己的咖啡廳進行了一項類似的測試。當時,佩戴著谷歌眼鏡的安全研究人員坐在距離目標iPad 8.5英尺的地方,實驗發現只要佩戴著能夠三次準確捕捉到用戶的登陸過程,他們就可以100%的識別出對方系統密碼。
據悉,這次試驗過程只花了不到10分鐘的時間就準確識別出了我們預設的密碼:5-1-2-0。但據CNN透露,由于實驗人員、網站記者勞里-西格爾(Laurie Segall)的指甲很短,因此他們花費了比平時更長的時間才識別出該密碼。而在實際使用中,谷歌眼鏡通常不需要這么長時間就能完成這一“工作”。
付心文認為,造成這一問題的最主要原因是鍵盤的鍵位始終是固定的,雖然目前市面上也有著不少可以打亂傳統鍵位設置的工具,但這些工具的使用并不廣泛。值得一提的是,這次研究的參與人員還將在下月舉辦的“黑帽安全大會”(Black Hat cybersecurity conference)上展示自己的這一發現。