Kamera termowizyjna może mieć wiele zastosowań. Jednym z nich okazuje się kradzież danych.
Kamery termowizyjne mogą być wykorzystywane do rekonstrukcji i odczytu śladów odcisków palców na powierzchniach takich, jak ekrany smartfonów, klawiatury komputerów czy ekrany dotykowe w bankomatach.  To miejsca, w których użytkownicy są proszeni o wprowadzenie kodu PIN lub innych danych osobowych. Przestępcy mogą więc wykorzystać względną intensywność śladów ciepła na ostatnio dotykanych powierzchniach na przykład do "odgadnięcia" haseł.
Odkrycia dokonał Mohamed Khamis, profesor w School of Computing Science Uniwersytetu w Glasgow, wraz z współpracownikami. Pokazali oni, jak łatwo jest złamać hasła dzięki obrazom termicznym. Zespół opracował ThermoSecure. To system, który wykorzystuje sztuczną inteligencję do skanowania obrazów termicznych i prawidłowego odgadywania haseł w ciągu zaledwie kilku sekund. Na tej podstawie badacze stworzyli kompleksowy przegląd istniejących strategii bezpieczeństwa komputerowego i zapytali użytkowników o ich preferencje dotyczące zapobiegania atakom termicznym na publiczne urządzenia płatnicze, takie jak bankomaty czy automaty biletowe.

Jak się zabezpieczyć przed atakiem termowizyjnym?

Autorzy zaprezentowali wyniki swoich badań 11 sierpnia 2023 roku na USENIX Security Symposium w Anaheim w Kalifornii. Przedstawione prace obejmowały również porady dla producentów, jak uczynić swoje urządzenia bezpieczniejszymi. Zespół zidentyfikował 15 różnych scenariuszy opisanych w poprzednich badaniach bezpieczeństwa komputerowego, które mogą zmniejszyć ryzyko ataków termicznych. Obejmowały one sposoby zmniejszenia wymiany ciepła z rąk użytkowników poprzez noszenie rękawiczek lub gumowych naparstków czy zmianę temperatury rąk poprzez dotknięcie czegoś zimnego przed pisaniem.
Inne propozycje dotyczyły sprzętu i oprogramowania. Element grzejny pod powierzchnią może usunąć ślady ciepła palców, powierzchnie dotykowe mogą też zostać wykonane z materiałów, które szybciej rozpraszają ciepło. Bezpieczeństwo na publicznie dostępnych powierzchniach można również zwiększyć, wprowadzając fizyczną osłonę, która zakrywa klawiaturę do momentu rozproszenia ciepła. Ryzyko udanego ataku mogą też zmniejszyć zabezpieczenia biometryczne.

Uwierzytelnianie dwuskłądnikowe

Po zbadaniu stosowanych środków bezpieczeństwa zespół przeprowadził ankietę online z udziałem 306 uczestników. Celem badania było zidentyfikowanie preferencji użytkowników wśród strategii zidentyfikowanych przez zespół i poproszenie ich o własne przemyślenia na temat środków bezpieczeństwa, które mogą zastosować podczas korzystania z takich urządzeń, jak bankomaty czy automaty biletowe.
Jest to pierwszy kompleksowy przegląd literatury na temat środków bezpieczeństwa przeciwko atakom termicznym, a nasze badanie przyniosło interesujące wyniki. Intuicyjnie użytkownicy sugerowali pewne strategie, których nie ma w literaturze, takie jak czekanie, aż środowisko będzie najbezpieczniejsze przed użyciem bankomatu. Opowiedzieli się również za dobrze już znanymi strategiami, takimi jak uwierzytelnianie dwuskładnikowe, ponieważ byli świadomi ich skuteczności. Zauważyliśmy również, że brali pod uwagę kwestie związane z higieną, co sprawiło, że strategia chuchania na urządzenia w celu maskowania śladów ciepła była bardzo niepopularna, oraz prywatnością, którą niektórzy użytkownicy brali pod uwagę, rozważając dodatkowe środki bezpieczeństwa, takie jak funkcja rozpoznawania twarzy lub odcisków palców.

– powiedział Mohamed Khamis