راه جدید هکرها برای نفوذ: عکسهای خودتان در شبکههای اجتماعی
۱۳۹۵ شهریور ۸, دوشنبهبسیاری از تجهیزات دیجیتال این روزها برای احراز هویت کاربران و اطمینان از اینکه کسی غیر از صاحب دستگاه نمیتواند وارد آن شود، از دادههای بیومتریک استفاده میکنند. مثلا ورود به آیفون یا دیگر گوشیهای هوشمند با اثر انگشتهایی که پیشتر به گوشی معرفی شده، یا ورود به لپتاپ از طریق آنالیز چشم یا چهره کاربر با دوربینی که روی آن نصب است.
اما بهرهگیری از دادههای یکتای بیومتریک برای ارتقای امنیت، آسیبپذیریهای امنیتی یکتا و جدیدی هم پدید آورده که کار هکرها را برای نفوذ به سیستمهای شما آسان میکند. مثلا اگر احراز هویت از طریق رویت صورت کاربر انجام شود، چطور باید مطمئن شد آنچه در برابر دوربین قرار گرفته واقعا صورت کاربر است یا تصویری از صورت او؟
تجهیزات دیجیتالی که رمزشان با مشاهده صورت کاربر گشوده میشود، اخیرا حسگرهای حرکتی مخصوصی تعبیه کردهاند تا مطمئن شوند آنچه در برابر دوربین قرار گرفته صورت «زنده» یک کاربر است و نه تصویری ساکن از او. برخی از این سیستمها حتی از کاربران میخواهند که حرکت خاصی از خود نشان دهند: مثلا رو به دوربین با چشم چپ چشمک بزنند، یا ابروی راست خود را بالا دهند.
بیشتر بخوانید: استفاده از صدای محیط برای رمز عبور؛ ابتکار متخصصان سوئیسی
با این همه، هکرها باز هم توانستهاند برای فریب این حسگرها راههای منحصر به فردی پیدا کنند. در مقالهای علمی که در سمپوزیوم امنیتی «یوزنیکس» (از بزرگترین گردهمآییهای هکرهای جهان) در هفتههای گذشته ارائه شد، گروهی از پژوهشگران نشان دادند که با استفاده از «واقعیت مجازی» و بهرهگیری از تصاویری که خود کاربران در شبکههای اجتماعی منتشر کردهاند، میتوان مدلی مجازی از آنها را بازسازی کرد که میتواند به سادگی سیستم احراز هویت را فریب دهد و حتی کارهایی که از کاربر خواسته شده را انجام دهد: ابرو بالا بیاندازد یا چشمک و لبخند بزند.
این مدل مجازی که با تصاویر با رزولوشن بالا از اکانتهای کاربران در فیسبوک و توییتر و... ساخته میشود، با اتصال به یک هدست VR (واقعیت مجازی، از جمله Oculus) فرآیند احراز هویت و حسگرهای حرکتی را همزمان فریب میدهد.
همه پنج سیستم احراز هویتی که در این پژوهش بررسی شدهاند، در مقابل این تکنیک نوین نفوذ آسیبپذیر بودهاند. عکسهای باکیفیتی که از خود در شبکههای اجتماعی منتشر میکنید، مستقیما به کمک هکرها میآیند تا بتوانند هویت شما را جعل و از آن برای ورود به دستگاهها و تجهیزاتی که متعلق به شماست استفاده کنند. حتی تصاویر کمکیفیت هم امکان جعل را فراهم میکنند، ولی احتمال موفقیت تصاویر کمکیفیت کمی هم کاهش مییابد.
بیشتر بخوانید: عکس به جای پسورد؛ ابتکار انقلابی هکر استرالیایی
هکرهایی که این پژوهش را انجام دادهاند میگویند: «حرف ما این است که نوع کاملا تازهای از حملات سایبری به زودی به راه خواهد افتاد که تهدیدی جدی برای همه سیستمهای احراز هویت دوربینمحور است و محور این حملات تکنولوژی واقعیت مجازی و مدلسازی سهبعدی است.»
به اعتقاد آنها تنها در صورتی امنیت این سیستمها ارتقا مییابد که دادههای بررسیپذیر دیگری هم برای احراز هویت از کاربران خواسته شود تا مطمئن شوند آن کسی که در برابر دوربین چشمک میزند خود کاربر است، نه مدلی سهبعدی از او که از عکسهای عمومی خودش ساخته شده. یکی از راههای پیشنهادی آنها بررسی دادههای حرارتی است که از پوست کاربران ساطع میشود.