Новая атака, получившая название "WiKI-Eve", позволяет перехватывать передачу чистого текста смартфонов, подключенных к современным WiFi-роутерам, и вычислять отдельные цифровые нажатия клавиш с точностью до 90%, что позволяет похищать цифровые пароли.
WiKI-Eve использует BFI (beamforming feedback information) - функцию, появившуюся в 2013 году в WiFi 5 (802.11ac) и позволяющую устройствам передавать маршрутизаторам информацию о своем положении, чтобы те могли более точно направлять сигнал.
Проблема BFI заключается в том, что при обмене информацией данные передаются в открытом виде, а значит, их можно перехватить и легко использовать, не прибегая к аппаратному взлому или взлому ключа шифрования.
Этот пробел в системе безопасности был обнаружен группой исследователей из университетов Китая и Сингапура, которые протестировали извлечение потенциальных секретов из таких передач.
Группа обнаружила, что в 90% случаев можно легко определить нажатие цифровых клавиш, расшифровать 6-значные цифровые пароли с точностью 85% и разработать сложные пароли приложений с точностью около 66%.
Хотя эта атака работает только с числовыми паролями, исследование, проведенное компанией NordPass, показало, что в 16 из 20 самых популярных паролей используются только цифры.
Атака WiKI-Eve
Атака WiKI-Eve направлена на перехват сигналов WiFi во время ввода пароля, поэтому это атака в реальном времени, которая должна быть проведена в тот момент, когда цель активно использует свой смартфон и пытается получить доступ к определенному приложению.
Атакующий должен идентифицировать цель по какому-либо идентификационному признаку в сети, например MAC-адресу, поэтому требуется определенная подготовительная работа.
"В реальности Eve может получить эту информацию заранее, проводя визуальный мониторинг и мониторинг трафика одновременно: соотнесение сетевого трафика, исходящего с различных MAC-адресов, с поведением пользователей должно позволить Eve связать физическое устройство Боба с его цифровым трафиком и таким образом идентифицировать MAC-адрес Боба", - поясняют исследователи.
На основном этапе атаки злоумышленник перехватывает временной ряд BFI жертвы во время ввода пароля с помощью инструмента мониторинга трафика, например Wireshark.
Каждый раз, когда пользователь нажимает клавишу, она воздействует на антенны WiFi, расположенные за экраном, что приводит к появлению отдельного сигнала WiFi.
"Хотя они учитывают только часть нисходящего CSI на стороне точки доступа, тот факт, что ввод текста на экране непосредственно влияет на антенны Wi-Fi (а значит, и на каналы), расположенные прямо за экраном (см. рис. 1), позволяет BFI содержать достаточно информации о нажатиях клавиш", - говорится в статье.
Однако в работе подчеркивается, что записанные серии BFI могут размывать границы между нажатиями клавиш, поэтому был разработан алгоритм разбора и восстановления пригодных для использования данных.
Для решения задачи отсеивания факторов, влияющих на результаты, таких как стиль набора текста, скорость набора, соседние нажатия и т.д., исследователи используют машинное обучение под названием "1-D Convolutional Neural Network".
Система обучается последовательно распознавать нажатия клавиш независимо от стиля набора текста с помощью концепции "адаптации к домену", которая включает в себя экстрактор признаков, классификатор нажатий клавиш и дискриминатор домена.
Наконец, для подавления специфических для домена признаков применяется "градиентный обратный слой" (GRL), который помогает модели научиться согласованному представлению нажатий клавиш в разных доменах.
Результаты атаки
Исследователи экспериментировали с WiKI-Eve с помощью ноутбука и программы WireShark, но при этом отметили, что в качестве атакующего устройства можно использовать и смартфон, хотя он может быть более ограничен в количестве поддерживаемых протоколов WiFi.
Снятые данные были проанализированы с помощью Matlab и Python, а параметры сегментации были установлены на значения, показанные для получения наилучших результатов.
Двадцать участников, подключившись к одной точке доступа WiFi, использовали разные модели телефонов. Они набирали различные пароли, используя сочетание активных фоновых приложений и различную скорость набора текста, при этом измерения проводились в шести разных точках.
Эксперименты показали, что точность классификации нажатий клавиш WiKI-Eve остается стабильной и составляет 88,9% при использовании алгоритма разреженного восстановления и адаптации к домену.
Для шестизначных цифровых паролей WiKI-Eve смог вычислить их с 85%-ным успехом менее чем за сто попыток, оставаясь стабильно выше 75% во всех тестируемых средах.
Однако решающее значение для этого показателя имеет расстояние между злоумышленником и точкой доступа. Увеличение этого расстояния с 1 м до 10 м привело к снижению коэффициента успешных угадываний на 23%.
Исследователи также провели эксперимент по поиску паролей пользователей WeChat Pay, эмулируя реалистичный сценарий атаки, и обнаружили, что WiKI-Eve правильно вычислил пароли на 65,8%.
Более чем в 50% из 50 проведенных тестов модель предсказывала правильный пароль в пределах пяти первых попыток. Это означает, что злоумышленник имеет 50%-ную вероятность получить доступ до достижения порога безопасности в пять неверных попыток ввода пароля, после чего приложение блокируется.
В заключение следует отметить, что злоумышленники могут выведать секреты, не взламывая точки доступа, а просто используя инструменты мониторинга сетевого трафика и фреймворки машинного обучения.
Это требует усиления безопасности точек доступа WiFi и приложений для смартфонов, например, потенциально возможной рандомизации клавиатуры, шифрования трафика данных, обфускации сигнала, скремблирования CSI, скремблирования канала WiFi и т.д.
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!
