Odczytywanie haseł z ekranów dotykowych

Na podstawie śladów palców pozostawionych na ekranie można w wielu przypadkach ustalić wzór stosowany do odblokowania smartfona.

Badacze z Uniwersytetu Pennsylwani opublikowali badanie demonstrujące dość skuteczny atak na telefony z ekranem dotykowym (w badaniu HTC G1 i Nexus One), w którym do odblokowania smartfona wykorzystane jest pociągnięcie palcem w określonym wzorze.

Okazuje się, że nawet w sytuacji, w której telefon jest fotografowany z daleka to w dużej ilości przypadków udało się odzyskać wzory pociągnięcia palcem, natomiast jeżeli atakujący dysponował telefonem fizycznie i mógł go ustawić i sfotografować tak, aby zapewnić sobie optymalny kontrast pomiędzy odbijającym światło ekranem a rozpraszającymi światło olejkami pozostawionymi przez palce, to poziom odzyskiwania wzorów był bardzo wysoki. Wzory haseł były możliwe do odzyskania, nawet jeżeli symulowano używanie telefonu i dotykano ekranu również w innych miejscach, oraz kiedy symulowano pobieżne przetarcie ekranu.

Jak się okazuje, ślady po przesuwaniu palcem są dość trudne do dokładnego usunięcia i wymaga to pewnego nakładu pracy, szybkie przetarcie usuwa jedynie informację pozwalającą ustalić, w którym kierunku przesuwany był palec. W przyszłości badacze mają zamiar przetestować również inne urządzenia - smartfony to nie są jedyne urządzenia korzystające z ekranów dotykowych do wprowadzania haseł. Wygląda jednak na to, że odblokowywanie telefonu przez wprowadzenie wzoru jest najbardziej podatne na taką analizę - PIN wprowadzany na klawiaturze cyfrowej zostawia plamki, a nie smugi, więc ustalenie hasła jest dużo trudniejsze.

Oczywiście, prostą odpowiedzią na taki atak na zabezpieczone hasłem cyfrowym urządzenia z ekranami dotykowymi jest wyświetlanie klawiszy numerycznych w losowej kolejności, w ten sposób znaki po wprowadzaniu hasła będą rozmieszczane w różnej kolejności. Ale takie rozwiązanie obniżałoby wygodę korzystania z urządzenia.

[via Schneier on Security]

Leszek Karlik