アカウント名:
パスワード:
今回のものはスマートフォン上での入力を読み取るもののようですが、番号入力以外のもの(英文字まで含めた入力、パターンをなぞる、等)でも取得可能かどうかで、危険度はいろいろ違ってきそうな感じですね。# 記事はぱっと見ただけなので、その辺まで含んだ研究なのかは未確認。
論文のアプリはタップの検出に特化していると思います。 タップの瞬間の沈み込み・指を離した時の浮き上がりからタップのタイミングを、また例えばスクリーンの左上をタップするとスマートフォンの左側・上側が沈むようにひねられる動きをすることから大まかなタップ位置を検出してます。 細かい座標まで読み取ることは難しいわけですが、番号入力画面では 1 2 3 4 5 6 7 8 9 * 0 # のような決まった配列がでっかく出るのが普通で、x座標なら「左・中央・右」だけ推定できれば事足りてしまいます。また「1文字目は1・2・4のどれか」までしか判らなくても、Brute Force Attackの難易度が激減します。
原理的には、他の入力でも「思わずスマートフォンが動いている」なら取得はされうる気がします。左にフリックする時にスマートフォンも少しだけ左にねじっている、とか。
# つまり手ブレさせなければ読み取られない…「スマートフォンは両手でしっかり持ち、脇を締め、あるいは壁や机に手首や肘を押し付けて固定し、ゆっくりとタップ」…
逆にブレまくって震えてるのをわからないようにしてやるって手も
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
にわかな奴ほど語りたがる -- あるハッカー
暗証番号以外は (スコア:0)
今回のものはスマートフォン上での入力を読み取るもののようですが、
番号入力以外のもの(英文字まで含めた入力、パターンをなぞる、等)でも取得可能かどうかで、
危険度はいろいろ違ってきそうな感じですね。
# 記事はぱっと見ただけなので、その辺まで含んだ研究なのかは未確認。
Re:暗証番号以外は (スコア:1)
論文のアプリはタップの検出に特化していると思います。
タップの瞬間の沈み込み・指を離した時の浮き上がりからタップのタイミングを、また例えばスクリーンの左上をタップするとスマートフォンの左側・上側が沈むようにひねられる動きをすることから大まかなタップ位置を検出してます。
細かい座標まで読み取ることは難しいわけですが、番号入力画面では
1 2 3
4 5 6
7 8 9
* 0 #
のような決まった配列がでっかく出るのが普通で、x座標なら「左・中央・右」だけ推定できれば事足りてしまいます。また「1文字目は1・2・4のどれか」までしか判らなくても、Brute Force Attackの難易度が激減します。
原理的には、他の入力でも「思わずスマートフォンが動いている」なら取得はされうる気がします。左にフリックする時にスマートフォンも少しだけ左にねじっている、とか。
# つまり手ブレさせなければ読み取られない…「スマートフォンは両手でしっかり持ち、脇を締め、あるいは壁や机に手首や肘を押し付けて固定し、ゆっくりとタップ」…
Re: (スコア:0)
逆にブレまくって震えてるのをわからないようにしてやるって手も