Temperatura de botões e telas pode revelar senhas em ataque que usa IA
Por Felipe Demartini • Editado por Claudio Yuge |
Um ataque que mais parece saído de um filme de espionagem pode permitir que senhas e outras credenciais sejam descobertas a partir dos traços de calor deixados pelos dedos do usuário em botões e telas. É essa a proposta de um grupo de pesquisadores da Universidade de Glasgow, na Escócia, que usou inteligência artificial e câmeras térmicas para capturar a temperatura residual deixada após a digitação.
- Ataque usa transmissão de rádio para vazar dados de PC desconectado da web
- Os 5 métodos de ataque cibernético em que você precisa ficar de olho
A exploração conhecida como ThermoSecure depende de acesso físico aos dispositivos, algo que pode ser obtido, por exemplo, depois que um funcionário fez login nos sistemas de uma empresa e foi buscar um café. Usando uma câmera capaz de detectar rastros de calor, um atacante pode tirar uma foto do teclado e revelar a diferença de temperatura entre as diferentes teclas; quando mais quentes, mais recentemente elas foram pressionadas, com tais indicativos também servindo para detectar repetições.
Depois, entra o sistema de inteligência artificial, que analisa o calor residual para determinar números, letras e símbolos digitados, bem como a ordem, para exibir a senha digitada. De acordo com os pesquisadores, para códigos curtos como os de acesso a ambientes ou smartphones, nem mesmo a tecnologia seria necessária, com indivíduos inexperientes sendo capazes de determinar combinações numéricas rapidamente.
Já quando se usa a IA, a eficácia é ainda maior. De acordo com o estudo, o sistema ThermoSecure foi capaz de acertar 86% das senhas a partir de imagens tiradas até 20 segundos depois da digitação; com 30 segundos, esse total caiu para 76%, chegando a 62% após um minuto. A complexidade das credenciais também altera o resultado. Para imagens tiradas em até 20 segundos, por exemplo, o sistema teve uma taxa de acerto de 67% para senhas de até 16 caracteres, com os totais baixando na medida em que a combinação se torna mais curta: 82% para sequências de 12 dígitos, 93% para oito pressionamentos e, por fim, 100% para senhas de seis dígitos, comumente usadas em smartphones ou caixas eletrônicos.
Outros elementos também interferem nas detecções. Digitadores mais lentos, por exemplo, têm mais chance de terem suas credenciais comprometidas desta maneira, enquanto a temperatura ambiente e o material de constituição dos teclados também altera a eficácia; diferentes tipos de plástico ou metal, com condutividades de calor variadas, modificam a taxa de detecção.
Os dados foram obtidos a partir da análise automatizada de 1,5 mil imagens, tiradas em diferentes modelos de teclados e telas. O objetivo do estudo, segundo os responsáveis, foi demonstrar como o valor baixo de câmeras térmicas e a disponibilidade pública de sistemas de inteligência artificial pode levar a ataques arrojados e direcionados, diminuindo as barreiras entre o teórico e o prático.
Na visão do Dr. Mohamed Khamis (na imagem), líder de desenvolvimento do projeto ThermoSecure, essa é uma demonstração de como administradores e empresas de segurança precisam cobrir todas as vias de comprometimento. Enquanto isso, também há cobrança das autoridades e reguladores, que podem restringir a venda de câmeras térmicas ou aplicar salvaguardas de segurança que impeçam seu uso em atividades criminosas.
Enquanto isso, aos usuários, a recomendação é o uso de senhas mais complexas e com muitos caracteres variados sempre que possível, enquanto o uso de teclados com retroiluminação também se provou o mais seguro. Ainda, vale a pena investir em métodos alternativos de identificação, como o reconhecimento de impressões digitais, íris ou rosto, que invalidam completamente o sistema.
Fonte: TechXplore