ウェブサイトに機密情報を入力する際、ほとんどのサイトでパスワードがマスクされていることはご存知でしょう。これは、誰かがあなたの肩越しに覗き見してログイン情報を盗むのを防ぐためです。しかし、あるセキュリティ研究者が、パスワードマスクを突破する方法を発見しました。
Haroon Meer氏は、「shoulderPad」という愛称のiPad用概念実証アプリを開発しました。これは、情報がアスタリスクで隠されているからといって、近くにいる盗み見をする人全員の「ショルダーサーフィン」を防げるわけではないことを証明しようとしたアプリです。このアプリはiPad 2のカメラを利用して動作し、他のiPadやiPhoneの画面から情報を収集することができます。
仕組みはこうです。被害者が入力を始める際に、iPadを画面にかざし、目立たないようにすると、アプリが被害者の貴重な情報を伝えます。iPadがこれを実現できるのは、iOSキーボードで入力すると、キーが一時的にハイライト表示されるからです。ShoulderPadは画像認識アルゴリズムを使用して、画面上で青色に表示された場所をトレースし、どのキーが押されたかを正確に推測します。
幸いなことに、ハルーン氏は、このような技術が悪用されれば損害をもたらす可能性があることを認識しており、このアプリを一般公開していません。しかし、入力中の情報がどれほど安全なのか疑問に思っていた人にとっては、目から鱗が落ちる内容です。iOSデバイスを手放す時期かもしれないと考えている方のために、これはAppleのタッチスクリーン製品に潜在する欠陥だけではありません。イタリアの企業の研究者たちは、AndroidやBlackberryスマートフォンのキーボードも盗聴できる、肩越しに盗聴する同様のトリックを発見しました。
タッチスクリーン式の携帯電話で、キーをタッチするとハイライトされなくなるまでは、次にパスワードを入力するときには、肩越しにちらっと振り返ってみるべきかもしれません。
Haroon のアプリの詳細情報を確認するか、アプリの動作ビデオをご覧ください。
[TUAWとForbes経由のThinkst]
このようなストーリーがもっとあります…
- iOS 4.3.4がリリース。JailbreakMe 3.0の脆弱性を修正
- Nook2AndroidでNook Colorをデュアルブート
- iOS 5 ベータ3はすでにジェイルブレイク済み、ハックはダウンロード可能
GeekTech をもっと知りたい方は、Twitter 、Facebook 、RSSをご利用ください。
