Serangan Thermanator – Jari-jari seseorang meninggalkan residu panas pada tombol keyboard yang dapat direkam oleh pengamat berbahaya dan kemudian menentukan teks yang dimasukkan pengguna pada keyboard, menurut sebuah makalah penelitian yang baru-baru ini diterbitkan oleh tiga ilmuwan dari University of California, Irvine (UCI).
“Ini adalah serangan baru yang memungkinkan seseorang dengan kamera termal mid-range untuk menangkap tombol yang ditekan pada keyboard normal, bahkan hingga satu menit setelah korban menggunakan keyboard,” kata Profesor Ilmu Komputer UCI Gene Tsudik, salah satu dari tiga peneliti.
“Jika Anda mengetik kata sandi dan berjalan atau melangkah pergi, seseorang dapat belajar banyak tentang hal setelah itu,” kata Tsudik.
Serangan Thermanator dapat memulihkan kata sandi, PIN
Tim UCI menyebut serangan ini serangan Thermanator, dan mereka mengatakan itu dapat digunakan untuk memulihkan teks singkat, mungkin itu adalah kode verifikasi, PIN perbankan, atau kata sandi.
Penyerang harus dapat menempatkan kamera dengan fitur perekaman termal di dekat korban, dan kamera harus memiliki pandangan yang jelas untuk serangan Thermanator ini.
Ketika kondisi ini terpenuhi, penyerang, bahkan yang tidak ahli, dapat memulihkan kumpulan key yang telah ditekan korban, yang kemudian dapat dirangkai menjadi string yang mungkin digunakan dalam dictionary attack.
Kata sandi dapat dipulihkan hingga 30 detik setelah input
Dalam percobaan di laboratorium, tim peneliti memiliki 31 pengguna yang memasukkan kata sandi pada empat jenis keyboard yang berbeda. Peneliti UCI kemudian meminta delapan non-ahli untuk menurunkan set key yang ditekan dari data thermal imaging yang direkam.
Tes menunjukkan bahwa data termal mencatat hingga 30 detik setelah entri kata sandi dengan cukup baik untuk penyerang non-ahli agar bisa memulihkan seluruh set key yang ditekan oleh korban.
Penyerang dapat memulihkan key sebagian ketika data termal direkam hingga satu menit setelah tombol ditekan.
Para peneliti mengatakan bahwa pengguna yang mengetik menggunakan teknik “hunt and peck“ menekan satu tombol pada satu waktu dengan dua jari sambil terus melihat keyboard lebih rentan akan teknik ini.
Salah satu kesimpulan dari penelitian ini adalah bahwa selama bertahun-tahun beberapa akademisi telah merancang beberapa jenis serangan untuk merekam kata sandi dalam berbagai cara, seperti melalui getaran mekanis, emanasi elektromagnetik, dan banyak lagi. Tim peneliti berpendapat bahwa mungkin saatnya untuk menjauh dari kata sandi sebagai sarana untuk mengamankan data dan peralatan pengguna.
“Karena sebelumnya perangkat penginderaan niche menjadi kurang dan lebih murah, serangan side-channel baru bergerak dari ‘Mission: Impossible’ menuju realitas,” kata para peneliti. “Ini terutama benar ketika mengingat biaya yang terus menurun dan meningkatkan ketersediaan termal berkualitas tinggi.”
Detail lebih lanjut tentang penelitian tim UCI dapat ditemukan dalam makalah berjudul “Thermanator: Thermal Residue-Based Post Factum Attacks On Keyboard Password Entry.”
Loading...
Reload document
Open in new tab 