Дослідники описали цікавий спосіб, за допомогою якого, за їхніми словами, можна дістатися до паролів користувача Zoom і інших сервісів відеоконференції. Досить під час відеодзвінка спостерігати за плечем людини, вважають фахівці.
Свій метод експерти Техаського і Оклахомського університетів описали в статті “Zoom on the Keystrokes: Exploiting Video Calls for Keystroke Inference Attacks”, повідомляє Forbes.
Згідно з матеріалом, фахівцям вдалося точно визначити, що друкують люди під час відеодзвінка. Дивно, що видає паролі користувача саме його плече.
Як відзначили в статті експерти, цей спосіб може представляти загрозу при спілкуванні через Zoom, Google Chat, Skype або Teams.
Однак варто визнати, що в реальній ситуації реалізувати таке буде значно складніше, ніж дослідники продемонстрували в процесі тестування.
Наприклад, якщо експерти вибудовували все належним чином, то точність визначення пароля становила 75%, але якщо оточення було довільним, цей показник падав до 20%.
“За допомогою описаного методу потенційний зловмисник може отримати конфіденційні дані: номери банківських карт, коди аутентифікації і навіть адреси користувачів”, – стверджують фахівці.
Згідно з опублікованою статтею, ключовим фактором став зв’язок пальців і плечових суглобів і м’язів. Залежно від того, який палець для набору використовував людина, реакція його плечових суглобів відрізнялася.
За словами дослідників, ці візуальні відмінності могли видати направлення, в якому користувач друкує на клавіатурі. Для визначення конкретних клавіш експерти задіяли спеціальний софт, який використовує словники.
Таким чином вдалося успішно визначити 18,9% паролів. 74% експерти не змогли виявити, оскільки в базі софта не було цих слів.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
У Zoom нарешті доступне наскрізне шифрування: як увімкнути його на своєму пристрої?
Фішингові листи: розпізнаємо шахрайство на реальному прикладі
Як зупинити отримання SMS на свій смартфон із розсилкою від торгових мереж?
Як виміряти рівень кисню у крові за допомогою Apple Watch? – ІНСТРУКЦІЯ
Як увімкнути нову функцію відстеження миття рук на Apple Watch? – ІНСТРУКЦІЯ
Нагадаємо, компанія Google випустила чергові патчі для Android, загалом усунувши понад 30 уразливостей. Найсерйознішою з нових проблем, згідно з бюлетенем, є можливість віддаленого виконання коду (RCE), виявлена в одному з компонентів системи Android.
Також мешканця міста Хмельницький впіймали на розповсюдженні конфіденційної інформації користувачів мережі Інтернет, серед якої були логіни та паролі доступу до різних інтернет-ресурсів, електронних поштових скриньок, облікових записів соціальних мереж та електронних гаманців
До речі, у WhatsApp з’явилася довгоочікувана функція, що дозволяє автоматично видаляти повідомлення. Тепер користувачі можуть включити “Автовидалення” для особистих чатів, після чого відправлені повідомлення будуть зникати через сім днів. У групових бесідах тільки адміністратори можуть включити або відключити нововведення.
Зверніть увагу, що зловмисники зловживають функціоналом Google Диска і використовують його для розсилки нібито легітимних електронних листів і push-повідомлень від Google, які в разі відкриття можуть перенаправити людей на шкідливі web-сайти.
Окрім цього, нову вимагацьку кампанію, націлену на користувачів сервісу для відеоконференцій Zoom, виявили дослідники Bitdefender Antispam Lab. Мова йде про так зване “інтимне вимагання” (sextortion), яке припало до смаку зловмисникам останнім часом.
