iPadのパスワードをショルダーハック

ショルダーハックという言葉を聞いて「懐かしい」と思われるユーザーもいるかもしれない。もう二十年近く前の言葉だろうか。ショルダーハックとは、肩越しにターゲットを覗き見して、情報（たとえば、Windowsのログオンパスワードや銀行ATMの暗証番号など）を入手する古典的なハッキングテクニックである。

先日、このショルダーハックを利用して、iPadやiPhoneなどのオンスクリーンキーボードで入力されたパスワードを推定する「shoulderPad」と名付けられたソフトウェアのデモ動画がアップされた。

iPadやiPhoneでは、入力されたパスワード自体はアスタリスクで表示されるため、そのまま覗き見しても何を入力したかはわからない。脆弱性があるといえるのは、オンスクリーンキーボードである。オンスクリーンキーボードは、各キーを入力した後に青色で光るため認識しやすい。

そこで、このテスト動画をアップしているharoon氏は、shoulderPadを開発してテストしているようだ。

動画を見ればわかるように、カメラ撮影されたオンスクリーンキーボード上でタイプしたパスワードが何かが認識されている。デモ自体は近距離撮影だが、望遠カメラを使えば、遠くのターゲットでも読み取れる可能性はあるわけだ。対策としては、オンスクリーンキーボードのハイライトはオプションでオフにしましょう、とのこと。

詳細は、以下のharoon氏のPDFやブログを参照してほしい。

thinkst Thoughts...: On-screen Keyboards Considered Harmful

http://thinkst.com/stuff/ocv/osk-thinkst.pdf