Articles - Security |
ショルダーハックという言葉を聞いて「懐かしい」と思われるユーザーもいるかもしれない。もう二十年近く前の言葉だろうか。ショルダーハックとは、肩越しにターゲットを覗き見して、情報(たとえば、Windowsのログオンパスワードや銀行ATMの暗証番号など)を入手する古典的なハッキングテクニックである。
先日、このショルダーハックを利用して、iPadやiPhoneなどのオンスクリーンキーボードで入力されたパスワードを推定する「shoulderPad」と名付けられたソフトウェアのデモ動画がアップされた。
iPadやiPhoneでは、入力されたパスワード自体はアスタリスクで表示されるため、そのまま覗き見しても何を入力したかはわからない。脆弱性があるといえるのは、オンスクリーンキーボードである。オンスクリーンキーボードは、各キーを入力した後に青色で光るため認識しやすい。
そこで、このテスト動画をアップしているharoon氏は、shoulderPadを開発してテストしているようだ。
動画を見ればわかるように、カメラ撮影されたオンスクリーンキーボード上でタイプしたパスワードが何かが認識されている。デモ自体は近距離撮影だが、望遠カメラを使えば、遠くのターゲットでも読み取れる可能性はあるわけだ。対策としては、オンスクリーンキーボードのハイライトはオプションでオフにしましょう、とのこと。
詳細は、以下のharoon氏のPDFやブログを参照してほしい。
thinkst Thoughts...: On-screen Keyboards Considered Harmful
http://thinkst.com/stuff/ocv/osk-thinkst.pdf
エンタープライズ
rootkitによるハッキングとその防御
Tripwireの導入
IDSの導入による不正侵入の検知とネットワーク管理
ウイルスからLinuxサーバを守る
セキュリティ:プライバシー