9:30
28/12/2015

Motion Leaks, to ciekawy eksperyment, pokazujący jak na podstawie odczytów akcelerometru i żyroskopu wbudowanego w inteligentne zegarki można, przy wykorzystaniu tzw. deep learningu, wywnioskować które z klawiszy naciska właściciel zegarka.

Side channel attack - smartwatch

Side channel attack – smartwatch

Oto video dokumentujące eksperyment z wykorzystaniem zegarka Sony SmartWatch 3:

Badacze zwracają uwagę, że podobne ataki można przeprowadzać na podstawie analizy odczytów opasek fitness — one także mają żyroskopy i akcelerometry, dzięki czemu można wymodelować trójwymiarowe ułożenie ręki właściciela opaski i na tej podstawie wywnioskować jakie klawisze naciska np. na pinpadzie bankomatu.

Tego typu ataki side channelowe to nie nowość. Tę technikę przewidywania naciskanych klawiszy opisywaliśmy już na przykładzie odczytów z akcelerometru smartphona. Na szczęście do ich przeprowadzenia potrzebny jest dostęp do urządzenia (smartphonu lub smartwatcha lub innej “sportowej bransoletki”) na której składowane są logi z akcelerometru. Niestety, w przypadku smartphonów aplikacje nie muszą prosić o pozwolenie na korzystanie z akcelerometru…

Na wszelki wypadek, nie wpisujcie PIN-ów w sklepowych terminalach i przy bankomatach ręką na której macie założony fitness tracker :)

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

11 komentarzy

Dodaj komentarz
  1. Na wszelki wypadek nie wychodźcie też z domu.

  2. A wystarczy mieć smartwatch/opaskę na innej ręce niz ta, którą obsługujesz terminal :)

    • Wystarczy wpisywać PIN kilkoma palcami, nie ruszając zbytnio ręką. Autor filmu wprowadza tutaj PIN bardzo tendencyjnie, poruszając całą dłonią nad terminalem. Ale to tylko testy, pewnie można to bardziej dopracować i wtedy zagrożenie staje się realne.

    • Czyli jak większość ludzi nosić zegarek na niedominującej ręce.

    • Wystarczy nie nosić smartwatcha…

  3. Zauważcie jak on sztywno trzyma rękę jak wpisuje ten “pin” :]

    • Dokładnie. A i tak algorytm nie wychwycił wszystkiego.

  4. Ciekawe, jak zadziała w przypadku osoby obsługującej klawiaturę całą ręką, a nie jednym/dwoma palcami :)

  5. Tego bym się nie spodziewał, bo tematyka opasek fitness jest mi bardzo bliska. Natomiast, aby wychwycić ruchy ręki potrzebne będzie noszenie opaski fitness na tej samej ręce, którą wpisujemy pin. Pomiar tętna możliwy w takim sprzęcie zaleca się wykonywanie na drugiej ręce, niż używamy jej do pisania. I jeśli piszemy prawą ręką, to opaskę zaleca się nosić na lewej, co skutecznie utrudni analizę hasła i dostęp do konta ;-)

  6. Na szczęście mam zegarek…mechaniczny!

  7. Jak dobrze że mi się ręce trzęsą ;)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: