شارا - شبكه اطلاع رساني روابط عمومي ايران : راه جديد هكرها براي نفوذ: عكس‌هاي خودتان در شبكه‌هاي اجتماعي
چهارشنبه، 10 شهریور 1395 - 12:07 کد خبر:25699
با فراگيري سيستم‌هاي احراز هويت دوربين‌محور، هكرها مي‌توانند با بازسازي چهره سه‌بعدي كاربران با عكس‌هايي كه از آنها در شبكه‌هاي اجتماعي منتشر شده، سيستم احراز هويت را فريب دهند و به سادگي به تجهيزات آنها نفوذ كنند.

شبكه اطلاع رساني روابط عمومي ايران (شارا)- با فراگيري سيستم‌هاي احراز هويت دوربين‌محور، هكرها مي‌توانند با بازسازي چهره سه‌بعدي كاربران با عكس‌هايي كه از آنها در شبكه‌هاي اجتماعي منتشر شده، سيستم احراز هويت را فريب دهند و به سادگي به تجهيزات آنها نفوذ كنند.

بسياري از تجهيزات ديجيتال اين روزها براي احراز هويت كاربران و اطمينان از اين‌كه كسي غير از صاحب دستگاه نمي‌تواند وارد آن شود، از داده‌هاي بيومتريك استفاده مي‌كنند. مثلا ورود به آي‌فون يا ديگر گوشي‌هاي هوشمند با اثر انگشت‌هايي كه پيش‌تر به گوشي معرفي شده، يا ورود به لپ‌تاپ از طريق آناليز چشم يا چهره كاربر با دوربيني كه روي آن نصب است.


اما بهره‌گيري از داده‌هاي يكتاي بيومتريك براي ارتقاي امنيت، آسيب‌پذيري‌هاي امنيتي يكتا و جديدي هم پديد آورده كه كار هكرها را براي نفوذ به سيستم‌هاي شما آسان مي‌كند. مثلا اگر احراز هويت از طريق رويت صورت كاربر انجام شود، چطور بايد مطمئن شد آنچه در برابر دوربين قرار گرفته واقعا صورت كاربر است يا تصويري از صورت او؟


تجهيزات ديجيتالي كه رمزشان با مشاهده صورت كاربر گشوده مي‌شود، اخيرا حسگرهاي حركتي مخصوصي تعبيه كرده‌اند تا مطمئن شوند آنچه در برابر دوربين قرار گرفته صورت «زنده» يك كاربر است و نه تصويري ساكن از او. برخي از اين سيستم‌ها حتي از كاربران مي‌خواهند كه حركت خاصي از خود نشان دهند: مثلا رو به دوربين با چشم چپ چشمك بزنند، يا ابروي راست خود را بالا دهند.

با اين همه، هكرها باز هم توانسته‌اند براي فريب اين حسگرها راه‌هاي منحصر به فردي پيدا كنند. در مقاله‌اي علمي كه در سمپوزيوم امنيتي «يوزنيكس» (از بزرگ‌ترين گردهم‌آيي‌هاي هكرهاي جهان) در هفته‌هاي گذشته ارائه شد، گروهي از پژوهشگران نشان دادند كه با استفاده از «واقعيت مجازي» و بهره‌گيري از تصاويري كه خود كاربران در شبكه‌هاي اجتماعي منتشر كرده‌اند، مي‌توان مدلي مجازي از آنها را بازسازي كرد كه مي‌تواند به سادگي سيستم احراز هويت را فريب دهد و حتي كارهايي كه از كاربر خواسته شده را انجام دهد: ابرو بالا بياندازد يا چشمك و لبخند بزند.


اين مدل مجازي كه با تصاوير با رزولوشن بالا از اكانت‌هاي كاربران در فيس‌بوك و توييتر و... ساخته مي‌شود، با اتصال به يك هدست VR (واقعيت مجازي، از جمله Oculus) فرآيند احراز هويت و حسگرهاي حركتي را هم‌زمان فريب مي‌دهد.

همه پنج سيستم احراز هويتي كه در اين پژوهش بررسي شده‌اند، در مقابل اين تكنيك نوين نفوذ آسيب‌پذير بوده‌اند. عكس‌هاي باكيفيتي كه از خود در شبكه‌هاي اجتماعي منتشر مي‌كنيد، مستقيما به كمك هكرها مي‌آيند تا بتوانند هويت شما را جعل و از آن براي ورود به دستگاه‌ها و تجهيزاتي كه متعلق به شماست استفاده كنند. حتي تصاوير كم‌كيفيت هم امكان جعل را فراهم مي‌كنند، ولي احتمال موفقيت تصاوير كم‌كيفيت كمي هم كاهش مي‌يابد.


هكرهايي كه اين پژوهش را انجام داده‌اند مي‌گويند: «حرف ما اين است كه نوع كاملا تازه‌اي از حملات سايبري به زودي به راه خواهد افتاد كه تهديدي جدي براي همه سيستم‌هاي احراز هويت دوربين‌محور است و محور اين حملات تكنولوژي واقعيت مجازي و مدل‌سازي سه‌بعدي است.»

به اعتقاد آنها تنها در صورتي امنيت اين سيستم‌ها ارتقا مي‌يابد كه داده‌هاي بررسي‌پذير ديگري هم براي احراز هويت از كاربران خواسته شود تا مطمئن شوند آن كسي كه در برابر دوربين چشمك مي‌زند خود كاربر است، نه مدلي سه‌بعدي از او كه از عكس‌هاي عمومي خودش ساخته شده. يكي از راه‌هاي پيشنهادي آنها بررسي داده‌هاي حرارتي است كه از پوست كاربران ساطع مي‌شود.