研究人员试图通过热成像相机来窃取用户的键盘输入记录
美国加利福利亚大学埃尔文分校的研究人员日前发布新论文阐述如何通过热成像相机测量键盘余温窃取密码。
这种攻击的原理主要是利用手指在键盘上留下的余温,基于热量流失原因通常只能在数分钟内收集按键信息。
例如你有敲击记录的情况下有事离开电脑则热成像相机可以收集记录,具体按键顺序则按照温度差异来决定。
具体攻击场景上自然不适合日常的各类攻击,这种攻击方式更多的是配合社会工程学用于商业环境中的窃取。
研究人员在实际生活环境中进行测试,让30名用户在4款知名键盘上输入10组有长有短的密码然后进行对比。
实际实验结果表明未经训练的用户在首次输入密码30 秒内可完整记录密码、60 秒内可收集到其中部分密码。
使用的热成像摄像机也是市面售卖的中等摄像鸡,因此即便不是专门用于社工的热成像相机也可以完成收集。
有趣的是研究人员透露这种窃取方式对于二指法输入的人特别有效,二指法是指使用两个手指头敲键盘输入。
研究人员也透露这种攻击方法必须能够完整看到键盘、在受害者的周边架设热成像摄像机因此实际限制很多。
但即便如此用户尤其是商业用户也应该警惕这种攻击方式,应对方法则是用完键盘抹几下或者使用虚拟键盘。
完整论文看Thermanator: Thermal Residue-Based Post Factum Attacks On Keyboard Password Entry