DigitalTrends- محققان دانشگاه ایرواین کالیفرنیا در مطالعات شان به این نتیجه رسیدند که با کمک دوربین تصویربرداری حرارتی و اسکن کیبورد کامپیوتر بعد از تایپ رمز عبور توسط کاربر می توان به راحتی رمز عبور را کشف کرد. آنها همچنین اعلام کردند که از این روش می توان در عرض 30 ثانیه بعد از تایپ نخستین حرف، رمز عبور کاربر را کشف کرد. محققان می گویند: اگرچه باقی مانده اثر حرارتی انسان با گذشت زمان از بین برود، اما همیشه یک پنجره زمانی مشخص وجود دارد که براساس آن می توان از خواص انرژی حرارتی در دستگاه های ورودی گرفته تا بازیابی اطلاعاتی که اخیرا وارد شده بهره گرفت. در واقع، در این بازه زمانی کوتاه می توان کلیدهای فشرده شده و حتی ترتیب فشردن آنها را با دقت مناسبی شناسایی کرد.
این نوع از نفوذ یا هک توسط محققان در چهار کیبورد مختلف آزمایش شد و محققان دریافتند که یک رمز عبور کامل را می توان با کمک اسکن حرارتی در عرض 30 ثانیه از تایپ نخستین حرف آن توسط کاربر کشف کرد. این سبک حمله سایبری که بیشتر به فیلم های سینمایی شباهت دارد، با استفاده از کیبوردهای مختلف و یک دوربین حرارتی با فاصله 60 سانتی متری از دست کاربر، توسط تیم پژوهشی آزمایش شده و نتایج مشابهی به دست آمده است.
محققان برای این کار از چند مدل دوربین مادون قرمز FLIR برای تشخیص حرارت استفاده کردند.
در این آزمایش ها 30 فرد غیرمتخصص سعی کردند رمزهای عبور را با کمک اسکن حرارتی مادون قرمز حدس بزنند. زمانی که تایپیست ها پسوردشان را وارد کردند، محققان دریافتند که این افراد بین زمان 5/19 تا 31 ثانیه و به راحتی توانستند کلید واژه را حدس بزنند.
کلمات کلیدی ضعیف مانند «فوتبال» و «12341234» به ترتیب بین 5/25 تا 25/45 ثانیه فاش شدند.
محققان دانشگاه ایرواین در پایان سه نتیجه اصلی آزمایش را اینطور بیان کردند:
استفاده از کیبورد فیزیکی برای وارد کردن پسورد از آنچه تصور می شد ناامن تر است.
امکان حمله سایبری با استفاده از دوربین های حرارتی واقعی است.
زمان آن فرا رسیده که یا کیبوردها را کنار بگذاریم، یا از متدهای دیگری برای احراز هویت استفاده کنیم.
این نخستین بار نیست که کیبوردها قابل هک شده اند. سال گذشته نیز دانشگاه پرینستون با تجزیه و تحلیل 50 هزار وب سایت پربازدید موفق به شناسایی 42 سایت مشهور شدند که بازدیدکنندگان خود را ردیابی می کنند. این وب سایت ها با استفاده از تکنیکی جدید، تقریبا تمام حرکات کاربر از جمله جست وجوهای اینترنتی، حرکت موس و کلیدهای فشرده شده کیبورد را ضبط می کنند.
گفتنی است این تکنیک با نام Session Reply از سوی وب سایت های مشهوری مانند گاردین، رویترز، سامسونگ، الجزیره، ادوبی، مایکروسافت و وردپرس برای ثبت هر حرکت بازدید کننده استفاده می شود. در مرحله بعد، این اطلاعات جمع آوری شده از حرکات آنلاین کاربران به سمت شرکت شخص ثالث دیگری ارسال و رفتار کاربر تجزیه وتحلیل می شود.
نکته نگران کننده در این میان ثبت اطلاعات وارد شده در فرم های موجود در صفحات وب سایت قبل از کلیک روی گزینه ثبت نهایی است. در واقع اطلاعات حیاتی مانند جزییات کارت های اعتباری و یا مشخصات شخصی افراد، حتی درصورتی که فقط تایپ شوند و بعدازآن پاک شوند، قابل ضبط است.