看不見的熱攻擊之攻擊手機鎖屏密碼（一）

? 摘要

PIN

碼和圖案仍然是最廣泛使用的基於知識的認證方案。由於熱攝像機變得無處不在且價格低廉，我們預見針對移動設備上用戶隱私的新形式的威脅。熱感相機使得執行熱攻擊成為可能，其中在認證時產生的熱跡線可以用於重建密碼。在本文，我們詳細研究利用熱成像推斷移動設備上的

PIN

和圖案（註：鎖屏密碼）的可行性。在研究（N=18）中，我們評估了PIN和圖案的性質如何影響其熱攻擊抗性。我們發現熱攻擊在移動設備上確實可行;重疊圖案顯著地將熱攻擊成功率從100％降低到16.67％，而即使具有重複的數字，PINs仍然脆弱（>72％熱攻擊成功率）。我們總結並向用戶和身份驗證方案設計師建議如何抵抗熱攻擊。

ACM分類關鍵詞

K.6.5安全和保護：認證

作者關鍵詞

熱成像;移動認證;觸摸屏。

?引言

個人移動設備上可用的敏感數據（例如個人照片，通話記錄，銀行帳戶和電子郵件）的數量的增加強化了防止各種惡意攻擊的需要。因此，用戶使用不同的身份驗證機制保護對移動設備的訪問，包括圖案和PIN（註：鎖屏密碼），以及生物識別方法，如FaceUnlock或TouchID

[23]。眾所周知，隱私問題影響用戶的技術使用決策[39]，這表明許多用戶可能放棄生物特徵識別方法，因為存在相關的隱私問題，如生物識別信息泄露。然而，PIN和圖案仍然是當今最流行的認證機制[23,49]。

可用安全社區最近專註於調查不同的以用戶為中心的攻擊，例如背後窺視（如[14,18,29]）和污痕攻擊（如[43,51]）（註：smudge

attack，根據手指在屏幕上留下的污跡劃痕判斷出鎖屏密碼）。與此同時，新的威脅出現了，迄今為止，研究界少有關注[4]，它就是對移動設備觸摸屏的熱攻擊。過去幾年來，在大眾市場上出現了帶有攜帶型熱成像儀的個人移動設備，例如CAT

S60（Cat? S60 Smartphone），或作為移動設備的可附加配件（如FLIR

One [FLIR ONE]或Seek

thermal[Infrared Thermal Imaging Cameras]）。硬體價格下降使得這些設備價格實惠。在本文出版之時，能以約400刀的價格買到溫度敏感度為0.05℃的攜帶型熱像儀。這自然地使得我們需要了解這種能夠進行熱攻擊的設備所帶來的威脅。

在熱攻擊期間，在遠紅外光譜中工作的熱像儀在認證後（註：指在屏幕上輸完密碼後）捕獲移動設備表面上留下的熱跡。這些痕迹被恢復並用於重建密碼。與污痕攻擊不同，熱攻擊可泄漏有關PIN和圖案輸入順序的信息（參見圖1）。此外，它們可以在受害者認證之後進行，減輕可能受到手遮擋影響的現場觀察攻擊（如背後窺視攻擊）的需要。

雖然已有前人研究利用熱傳導來識別交互的接觸點[21,32,42]，但我們研究的是可靠性，針對在認證後從觸摸屏上留下的熱跡推導出密碼。Abdelrahman等人[1]描繪了針對錶面熱跡識別的材料空間（註：意思是屬於這個集合空間內的材料表面可熱跡識別）。然而，他們的研究工作並沒有含蓋觸摸屏材料。我們調查Gorilla（大猩猩）玻璃的熱攻擊（Smartphones, Slates/Tablets, Notebooks and Other Products with Gorilla Glass | Corning Gorilla Glass），它是被用於大多數觸摸屏的標準覆蓋玻璃。

在這項工作中，我們將探討當前的認證機制如何易受熱攻擊的影響。我們引入了一種基於自動計算機視覺的方法，在認證過程之後分析熱跡，並提取潛在的PIN或圖案（註：密碼）。我們的實現是開源的，因此允許進一步實驗熱攻擊（Yomna-Abdelrahman/ThermalAttack）。我們在用戶研究中調查了PIN和圖案的特性如何影響熱攻擊的成功，並報告我們的發現。特別是，我們關注於身份驗證方式的類型、密碼的屬性以及身份驗證後的攻擊實施時刻。我們發現，儘管包含重複數字的PIN的熱圖像不能被肉眼看到PIN（圖1），但是在認證後的頭30秒內予以實施，熱攻擊可以產生72％至100％的成功率。同時，如果圖案包括一個或多個重疊，針對圖案的熱攻擊成功將顯著降低（在前30秒內從100％降到17％）。

?貢獻聲明

本文的貢獻如下：

1.針對最先進的智能手機觸摸屏的熱接觸傳導率評估，以及商業熱感相機如何利用它們進行熱攻擊。

2.一種從熱痕中提取PIN和圖案來分析熱攻抗性的自動計算機視覺方法。

3.關於常用認證方案的屬性如何影響熱攻擊的成功率的深入研究。

4.一組幫助用戶和認證方案設計人員克服熱攻擊的建議。

?相關工作

我們的研究工作基於兩部分前人研究：（1）熱成像和（2）移動設備上對用戶認證的不同類型的威脅。

?熱成像

熱像儀捕捉實景的熱圖。它們在波長於7.5和13μm之間的遠紅外光譜中工作。熱成像的特性與可見光的特性有很多差異。

第一個熱的特性是熱輻射。與可見光相比，熱輻射具有不同的反射特性，其取決於表面[1]。以前的工作中利用了熱反射，以使身體穿戴和手持設備能夠檢測空中手勢[42]。

第二個獨特的特性是熱成像獨立於光和著色前提，這允許熱像儀用於面部和表情識別[30,31]。熱像儀可以提供有關於感知到的身體溫度信息，可用於以無接觸的方式推斷用戶的生理和認知狀態[41]，比如通過評估其應激水平[28]。

第三個獨特的特性是熱成像能夠檢測過去已經存在的輸入。當用戶觸摸物體表面上的一個點時，熱量從使用者轉移到物體表面，這產生慢慢消失的熱痕迹。可使用熱成像檢測這些熱跡。熱痕迹已被用於（註：數據）輸入[21,32,42]，以及根據用戶的熱手印來認證用戶[11]。

在本文中，我們研究使用熱成像推斷在移動設備上輸入的密碼，這利用了熱痕僅會慢慢消失的事實。我們調查最先進的觸摸屏的熱特性，並研究密碼特性對熱跡的影響，從而成功地通過熱成像提取出密碼。

?對移動設備上身份認證的威脅

移動設備（如平板電腦和智能手機）存儲並允許訪問太多的私人內容。之前有人調查了一些使用戶的私人數據面臨風險的威脅模型。

?背後窺視攻擊

被討論最廣泛的威脅之一是背後窺視攻擊，在該攻擊中(註：背後）觀察者試圖竊聽用戶以發現私人信息，其中包含登錄憑據信息[18]。有些方法可減緩背後窺視攻擊的衝擊：添加隨機線索[6,7,846]；通過讓攻擊者觀察多個線索來分割攻擊者的注意力[14,29]；以及偽造用戶輸入[15,22]。除專註於登錄憑據，研究還調查了為保護用戶免於被背後窺視簡訊[19]和圖片[50]的方法。大多數反擊背後窺視的方案都是攻擊者可以清楚地觀察一次密碼輸入的威脅模型。其他威脅模型涵蓋多次觀察攻擊[24,36,29,52]或視頻攻擊[14,46]。

?污痕攻擊

另一種前人已描述的攻擊類型是污痕攻擊，其中攻擊者利用交互後觸摸屏上留下的油性殘留物發現密碼[5]。污痕攻擊對圖案（註：密碼）的表現特別好，因為污跡提示了模式的開始位置。但是，他們幾乎無法提供有關PIN輸入順序的任何有用的信息。減少污跡攻擊的方法包括圖形化地轉換輸入密碼的視覺提示[43,51]；引入隨機元素以導致在每次身份驗證嘗試時出現不同污跡[51]；或者使用多個手指增加圖案複雜性[35]。污痕攻擊的威脅模型假設攻擊者除了清晰可見的污跡以及可清楚看到這些污跡的理想照明條件外，還可訪問移動設備。

?熱成像攻擊

熱成像攻擊利用熱成像的特性。也就是說，在認證期間，熱跡線從用戶的手轉移到觸摸屏。這些慢慢消失的痕迹[32]使得，即使用戶已經輸過了密碼，熱像儀也可以察覺顯示屏的哪些部分被觸摸過。類似於背後窺視，熱攻擊泄漏關於輸入PIN和圖案順序的信息[5]。然而，相比背後窺視，熱攻擊可以在用戶離開設備後執行。這給了攻擊者一個優勢，因為他們不需要在認證時觀察用戶，這使攻擊更加微妙，並消除了手遮擋。雖然熱圖像可以通過交互來扭曲，但執行有限交互或在認證後離開設備的用戶仍然容易受到熱攻擊。

Mowery等人研究了對帶有塑料鍵盤ATM機進行熱攻擊的有效性[34]。他們發現即使用戶認證過後，熱攻擊也是可行的。儘管Mowery等人調查了對ATM機的塑料鍵盤的熱攻擊，對移動設備和其他觸摸屏設備的熱攻擊幾乎沒有任何涉及。在初步研究中，Andriotis等人[4]能夠觀察到在輸入圖案認證3秒後所產生的熱痕迹。這允許他們提取部分圖案（註：密碼）。

在我們的工作中，我們深入分析在對於移動設備觸摸屏上PIN和圖案及相應不同密碼特性情況下的熱攻擊的表現有多好。我們考慮了PIN中的重複數字和圖案重疊。為此，我們實現了ThermalAnalyzer（註：熱分析器），它可自動從熱痕迹中提取密碼。ThermalAnalyzer顯示，即使在認證發生30秒（即10倍時長於先前研究工作[4]），熱攻擊也可成功。

?理解熱攻擊

我們的研究工作依賴於熱從一個物體到另一個物體的傳遞現象。熱從用戶手上傳遞到與之接觸的物體表面，這留下了可用於分析的痕迹。它取決於物體表面材料的特性，即所謂的熱接觸電導[12]，是指兩個接觸物體（表面）之間的熱傳導率。

根據blackbody（註：黑體）模型[27]，任何絕對零點以上的物體（例如我們周圍環境中的物體）都會發出熱輻射。這種輻射被吸收，反射和傳播。然而，對於完全不傳導的表面，沒有傳輸部分[20]。這約束有效部分為反射和吸收輻射。因此，熱輻射可以表現為Thermal

reflectivity + Thermal absorptivity = 1（熱反射率+熱吸收率=1）。

一旦物體接觸表面，熱輻射被物體表層傳播和吸收，導致溫度變化。這導致熱痕積聚在表面上。為了計算傳輸的熱量並確定熱量是否可以被商用熱攝像機檢測到，我們測量了接觸點處的溫度（T_contact）。我們使用Ray[40]的一個成熟的模型來計算兩個物體接觸點的溫度。在我們的場景中，兩個物體是：人體皮膚（即用戶的手指）和移動設備的觸摸屏（即Gorilla玻璃片）。

(1) T_contact = (b_skin*T_skin + b_gorilla_glass*Tgorilla_glass) / (b_skin + b_gorilla_glass)

(2) b = sqrt(K*P*C)

T_contact取決於接觸點的溫度（T_skin和T_gorilla_glass）以及它們的熱穿透係數（b）。它是被表層滲透和吸收的熱能的總量。此b由等式2定義。它由熱導率（K），熱密度（P）和比熱容（C）的乘積構成[38]。人類皮膚和gorilla玻璃短接觸的b分別是1000

pow(JS,-1/2.0)*pow(m,-2)*pow(K,-1)[38]和1385 pow(JS,-1/2.0)*pow(m,

-2)*pow(K,-1)[44]（該值由我們大學的應用光學研究所通過實驗室測量確定）。

另外，接觸點溫度變化的檢測取決於相機的靈敏度。溫度的變化必須高於相機的溫度敏感度才能被相機區分開來。例如，如果觸摸屏玻璃的溫度T_gorilla_glass為23℃，用戶的手溫T_skin為30℃，則按等式1計算T_contact為25.9℃，這導致2.9?C的溫差（T_contact

-

T_gorilla_glass）。因此，熱敏感度≤2.9℃的熱相機將能夠通過利用熱痕迹衰減來恢復PIN/圖案輸入的順序。在我們的研究中，熱像儀的熱敏感度為0.04℃，它能夠感知手溫差異。

?威脅模型

在我們的威脅模型中，攻擊者（即未經許可訪問設備的人）等待受害者完成認證過程並離開移動設備。比如用戶快速查看其最新消息後，將設備放在他或她的桌子上，然後去咖啡機取飲料。為了確保攻擊者在我們的威脅模型中的最佳條件，用戶不與設備進行交互，而只是認證（例如，查看來自通知或窗口小部件的更新），然後讓設備閑置。攻擊者然後使用熱像儀（如，集成於智能手機中的熱像儀）來拍攝設備觸摸屏的熱圖像。然後攻擊者以類似於我們在下一節中給出的分析的方式分析熱圖像，以識別PIN/圖案。與以前討論的威脅模型[24,36,29,52]類似，攻擊者利用了無人在設備附近的機會來登錄和訪問用戶的私人信息。

......

未完待續

本文由 看雪翻譯小組 hanbingxzy 編譯，來源 HIC Group@vis.uni-stuttgart.de

? 往期熱門內容推薦

滲透測試 Node.js 應用

TI（德州儀器）TMS320C674x 逆向分析方法

Firefox 中一個 Cross-mmap 溢出的利用

UPDATE 查詢中的 SQL 注入

繞過補丁實現欺騙地址欄和惡意軟體警告

FlokiBot 銀行木馬詳細分析

更多優秀文章 「關注看雪學院公眾號」查看！

看雪論壇：看雪安全論壇

微信公眾號 ID：ikanxue

微博：看雪安全

投稿、合作：看雪學院

推薦閱讀：