Οι ερευνητές σχεδιάζουν μια εφαρμογή για την προστασία των PIN και των κωδικών πρόσβασης.
Κάθε χρήστης ΑΤΜ ή smartphone μπορεί να επιβεβαιώσει την ταλαιπωρία που έχει υποστεί άπειρες φορές όταν κάποιος άγνωστος είναι αρκετά κοντά του και παρακολουθεί μια οικονομική συναλλαγή – και ενδεχομένως να σημειώσει έναν αριθμό PIN ή έναν αριθμό λογαριασμού. Τώρα οι ερευνητές της Σχολής Τεχνών της NYU Tandon ανακοίνωσαν ένα αίτημα για την καταπολέμηση του “shoulder-surfing”, είτε πρόκειται για κοντινή επαφή, είτε μέσω βιντεοκάμερας ενός κτιρίου.
Ο Nasir Memon, καθηγητής πληροφορικής και μηχανικής NYU Tandon, εξήγησε ότι η τεχνολογία, που ονομάζεται “IllusionPIN”, αναπτύσσει ένα πληκτρολόγιο υβριδικής εικόνας που εμφανίζεται αλλιώς στον ίδιο το χρήστη και διαφορετικά σε έναν παρατηρητή σε απόσταση ενός μέτρου ή μεγαλύτερη.
Η υποκείμενη τεχνολογία συνδυάζει μία εικόνα διαμόρφωσης πληκτρολογίου με υψηλή χωρική συχνότητα και μια δεύτερη, εντελώς διαφορετική, διαμόρφωση πληκτρολογίου με χαμηλή χωρική συχνότητα. Η ορατότητα κάθε εικόνας εξαρτάται από την απόσταση από την οποία προβάλλεται.
“Η παραδοσιακή διαμόρφωση αριθμών σε ένα πληκτρολόγιο είναι τόσο γνωστή ώστε είναι πιθανό ένας παρατηρητής να διακρίνει έναν κωδικό PIN ή έναν κωδικό πρόσβασης μετά από διάφορες προβολές βίντεο παρακολούθησης”, δήλωσε ο Memon. “Σε μια συσκευή που τρέχει το IllusionPIN, ο χρήστης – ο οποίος είναι πιο κοντά στη συσκευή – βλέπει μια διαμόρφωση αριθμών, αλλά κάποιος που κοιτάζει από απόσταση βλέπει ένα τελείως διαφορετικό πληκτρολόγιο.”
Το IllusionPIN επαναπροσδιορίζει το πληκτρολόγιο για κάθε έλεγχο ταυτότητας ή προσπάθεια σύνδεσης.
Η ερευνητική ομάδα, η οποία περιλαμβάνει επίσης τους υποψήφιους διδάκτορες του NYU Tandon Athanasios Papadopoulos, τον Toan Nguyen και τον Emre Durmus, μίλησε για μια σειρά επεισοδίων στις συσκευές smartphone για να ελέγξει την αποτελεσματικότητα του IllusionPIN σε διάφορες αποστάσεις.
Συνολικά, πραγματοποίησαν 84 δοκιμασμένες επιθέσεις πάνω από το κεφάλι ή τους ώμους σε 21 συμμετέχοντες, καμία από τις οποίες δεν ήταν επιτυχής. Για την αντίθεση, τοποθετούσαν 21 επιθέσεις shoulder-surfing σε απροστάτευτα τηλέφωνα χρησιμοποιώντας τις ίδιες παραμέτρους απόστασης. Και οι 21 επιθέσεις ήταν επιτυχείς.
Η ομάδα διαπίστωσε ότι το IllusionPIN καθιστά σχεδόν αδύνατο να κλέψει κάποιος το PIN ή άλλες πληροφορίες ελέγχου ταυτότητας με τη χρήση υλικού παρακολούθησης.
Η συνειδητοποίηση των δυνατοτήτων απειλής που θέτει το shoulder-surfing έχει αυξηθεί σημαντικά την τελευταία δεκαετία, από την εμφάνιση των πρώτων smartphones.
Και ενώ δεν υπάρχουν αξιόπιστα στατιστικά στοιχεία σχετικά με την επικράτηση αυτού του είδος των επιθέσεων, μια μελέτη του 2016 που διεξήχθη από τους Memon και Nguyen διαπίστωσε ότι το 73% των ερωτηθέντων χρηστών κινητών συσκευών ανέφερε ότι είχαν παρατηρήσει κάποιον άλλον να κρυφοκοιτάζει το PIN (αν και όχι αναγκαστικά για κακόβουλη πρόθεση).
Μια μελέτη του 2017 σχετικά με την ευαισθητοποίηση του shoulder-surfing που παρουσιάστηκε στη διάσκεψη του ACM αναφορικά με το Human Factors in Computing Systems ανέφερε ότι το 97% των ερωτηθέντων επιβεβαίωσε ότι είχε υποστεί τουλάχιστον ένα περιστατικό του συγκεκριμένου είδους στην καθημερινή του ζωή και στην πλειονότητα των περιπτώσεων, τα θύματα δεν γνώριζαν ότι κάποιο κοντινό άτομο παρατηρούσε τις κινήσεις τους.
“Ο έλεγχος ταυτότητας με ΡΙΝ είναι δημοφιλής για καλούς λόγους, δηλαδή είναι εύκολος στη χρήση “, δήλωσε ο Memon. “Ο στόχος μας ήταν να αυξήσουμε την ανθεκτικότητα του ελέγχου ταυτότητας PIN χωρίς να ζορίζουμε τη συσκευή ή να θέσουμε σε κίνδυνο την εμπειρία των χρηστών”.