Come gli hacker usano le termocamere per rubare i dati personali

Come è noto, le termocamere sono utilizzate nell'industria per vari tipi di ispezioni di qualità. Tuttavia, le termocamere disponibili in commercio possono anche essere utilizzate impropriamente per scopi criminali. I ricercatori dell'Università di Glasgow hanno ora sviluppato delle raccomandazioni su come proteggersi da questi "attacchi termici".

Piccole e maneggevoli termocamere sono in grado di leggere le annotazioni fatte di recente in base alla temperatura della superficie, da cui è possibile ricostruire, ad esempio, password o codici PIN. (Immagine: Pixabay.com)

Le termocamere possono essere utilizzate per ricostruire e leggere le tracce delle impronte digitali su superfici come gli schermi degli smartphone, le tastiere dei computer o i touchscreen degli sportelli bancomat, ovvero ovunque venga richiesto agli utenti di inserire un codice PIN o altri dati personali. Di conseguenza, gli hacker possono utilizzare l'intensità relativa delle tracce di calore sulle superfici toccate di recente per ricostruire, ad esempio, le password. Un team di esperti di sicurezza informatica dell'Università di Glasgow ha ora sviluppato una serie di raccomandazioni per difendersi da questi "attacchi termici", che possono essere utilizzati per rubare dati personali.

Cracking delle password con le telecamere termiche e l'intelligenza artificiale

La ricerca è stata preceduta da quella del dottor Mohamed Khamis, professore presso la School of Computing Science dell'Università di Glasgow, e dei suoi colleghi. Essi hanno dimostrato la facilità con cui le immagini termiche possono essere utilizzate per decifrare le password. Il team ha sviluppato ThermoSecure, un sistema che utilizza l'intelligenza artificiale (AI) per scansionare le immagini termiche e indovinare correttamente le password in pochi secondi, avvertendo molti del pericolo degli attacchi termici. Su questa base, il team di ricerca del dottor Khamis ha creato un'indagine completa sulle strategie di sicurezza informatica esistenti e ha chiesto agli utenti le loro preferenze su come prevenire gli attacchi termici sui dispositivi di pagamento pubblici, come bancomat o biglietterie automatiche.

Misure contro gli attacchi termici

Gli autori hanno presentato i risultati della ricerca l'11 agosto 2023 alla conferenza USENIX Security Symposium di Anaheim, California. Il lavoro presentato comprende anche consigli per i produttori su come rendere più sicuri i loro dispositivi. Il team ha identificato 15 diversi approcci descritti in precedenti ricerche sulla sicurezza informatica che potrebbero ridurre il rischio di attacchi termici. Tra questi, i modi per ridurre il trasferimento di calore dalle mani degli utenti indossando guanti o cappelli di gomma per le dita, o modificando la temperatura delle mani toccando qualcosa di freddo prima di digitare. La letteratura suggerisce anche di premere le mani contro le superfici o di respirare su di esse per nascondere il calore dalle impronte digitali dopo la digitazione.

Altri suggerimenti per una maggiore sicurezza riguardano l'hardware e il software. Un elemento riscaldante dietro le superfici potrebbe cancellare le tracce del calore delle dita, oppure le superfici potrebbero essere realizzate con materiali che dissipano il calore più rapidamente. La sicurezza delle superfici accessibili al pubblico potrebbe essere migliorata introducendo uno scudo fisico che copra i tasti fino a quando il calore non viene dissipato. In alternativa, gli input di tracciamento oculare o la sicurezza biometrica potrebbero ridurre il rischio di attacchi termici riusciti.

Gli utenti vogliono l'autenticazione a due fattori

Dopo aver studiato le misure di sicurezza esistenti, il team ha condotto un sondaggio online con 306 partecipanti. L'obiettivo del sondaggio era quello di identificare le preferenze degli utenti tra le strategie identificate dal team e di chiedere loro le proprie opinioni sulle misure di sicurezza che potrebbero applicare quando utilizzano dispositivi pubblici come bancomat o biglietterie automatiche. Il dottor Mohamed Khamis, che ha guidato questo studio, ha dichiarato: "Questa è la prima rassegna completa della letteratura sulle misure di sicurezza contro gli attacchi termici e il nostro sondaggio ha rivelato alcuni risultati interessanti. Intuitivamente, gli utenti hanno suggerito alcune strategie non presenti in letteratura, come aspettare che l'ambiente sembri più sicuro prima di utilizzare un bancomat. Hanno anche sostenuto strategie già note, come l'autenticazione a due fattori, perché ne conoscevano l'efficacia. Abbiamo anche visto che hanno preso in considerazione questioni di igiene, che hanno reso molto impopolare la strategia di respirare sui dispositivi per mascherare le scie di calore, e di privacy, che alcuni utenti hanno preso in considerazione quando hanno pensato a misure di sicurezza aggiuntive come il riconoscimento facciale o delle impronte digitali".

Il documento si conclude con raccomandazioni per gli utenti su come proteggersi dagli attacchi di calore in pubblico e per i produttori di dispositivi su come integrare le misure di sicurezza nelle future generazioni di hardware e software. La coautrice, prof.ssa Karola Marky, oggi docente presso la Ruhr University di Bochum, in Germania, ma all'epoca dello studio ancora ricercatrice post-dottorato nel team di Mohamed Khamis, consiglia agli utenti di prestare molta attenzione a ciò che li circonda quando inseriscono dati sensibili in pubblico, per assicurarsi che nessuno li stia osservando, o di utilizzare una struttura sicura come una banca. "Quando ciò non è possibile, consigliamo di appoggiare i palmi delle mani sui dispositivi per coprire le tracce di calore, oppure di indossare guanti o protezioni per le dita, se possibile", ha dichiarato il Prof. Marky. "Consigliamo inoltre di utilizzare l'autenticazione a più fattori ogni volta che è possibile, in quanto protegge da una serie di attacchi diversi, compresi quelli termici, e di proteggere il più possibile tutti i fattori di autenticazione".

Anche i produttori di distributori automatici e di termocamere sono soggetti all'obbligo di acquisto.

Ai produttori di bancomat o distributori automatici di biglietti si consiglia di considerare le possibilità di attacchi tramite termocamere portatili già in fase di progettazione. I dispositivi dovrebbero essere dotati di schermi fisici per bloccare le superfici per un breve periodo di tempo, o di tastiere che migliorano la privacy riorganizzando la disposizione dei tasti dopo l'uso. Per i dispositivi già in circolazione, gli aggiornamenti del software potrebbero aiutare a ricordare agli utenti di essere consapevoli di ciò che li circonda e di adottare misure per evitare l'osservazione da parte delle termocamere. "La nostra raccomandazione finale è che i produttori di termocamere prevengano gli attacchi incorporando nuovi blocchi software che impediscano alle termocamere di scattare immagini di superfici come i PIN pad dei bancomat", aggiunge Mohamed Khamis. "Continuiamo a indagare sui possibili approcci per mitigare il rischio di attacchi con le termocamere. Anche se non sappiamo ancora quanto siano diffusi questi attacchi ai dati personali, è importante che i ricercatori di sicurezza informatica si tengano aggiornati sui rischi che le termocamere potrebbero rappresentare per i dati personali degli utenti, soprattutto perché ora sono così economiche e ampiamente disponibili".

Fonte: Techexplore.com / Università di Glasgow

(Visitato 1.029 volte, 1 visita oggi)

Altri articoli sull'argomento