Атака Thermanator позволяет определить пароль по тепловым следам на клавиатуре

При работе с клавиатурой пальцы оставляют тепловые следы, которые позволят определить короткие фрагменты вводимого пользователем текста, в том числе коды верификации, пароли и PIN-коды. Команда исследователей из Калифорнийского университета опубликовала доклад , в котором описала, как злоумышленники, вооруженные тепловизионной камерой, могут зафиксировать нажатия клавиш на клавиатуре и считать текст.

Для работы новой атаки, получившей название Thermanator, требуется соблюдение двух условий: 1) тепловая камера должна располагаться вблизи жертвы; 2) ничто не должно заслонять вид клавиатуры. По словам исследователей, атаку может провести даже непрофессиональный хакер .

Ученые провели серию экспериментов, в ходе которых добровольцы вводили пароли на клавиатуре четырех типов. Далее исследователи попросили нескольких рядовых пользователей определить комбинации нажатых клавиш на основе записанных тепловых следов. Как оказалось, данных, записанных в течение 30 секунд после ввода, вполне достаточно для вычисления всех клавиш, нажатых жертвой. Более того, атакующий может частично определить нажатия клавиш, если тепловые следы были записаны в течение 1 минуты.

По словам исследователей, атака более эффективна против пользователей, которые набирают текст одним или двумя пальцами.

За последние несколько лет эксперты в области безопасности представили несколько подобных «термических» техник. В частности, специалисты Штутгартского университета и Мюнхенского университета им. Людвига-Максимилиана продемонстрировали , как киберпреступники могут узнать PIN-код смартфона при помощи теплового следа пальцев его владельца.