ABD’deki Michigan Üniversitesi’nden ve Çin’deki Zhejiang Üniversitesi’nden Boffins, gözlüklü video konferans katılımcılarının, gözlüklerindeki yansımalar yoluyla ekrandaki hassas bilgileri istemeden nasıl açığa vurduklarını vurgulamak istiyor.
COVID-19 salgını ve uzaktan çalışmadaki artışla birlikte video konferans olağan hale geldi. Araştırmacılar, takip eden gizlilik ve güvenlik sorunlarının daha fazla ilgiyi hak ettiğini ve bu olağandışı saldırı vektörüne göz attıklarını savunuyorlar.
Araştırmacılar Yan Long, Chen Yan, Shilin Xiao, Shivan Prasad, Wenyuan Xu ve Kevin Fu, ArXiv aracılığıyla dağıtılan “Private Eye: On the Limits of Textual Screen Peeking via Eyeglass Reflections in Video Conferencing” başlıklı bir makalede, nasıl çalıştıklarını anlatıyor. gözlük camlarına yansıyan video ekranlarından gelen optik yayılımları analiz etti.
Bilgisayar bilimcileri makalelerinde, “Çalışmamız, video kare dizileri üzerinde çok kareli süper çözünürlük tekniklerini kullanan optik saldırılara dayalı uygulanabilir tehdit modellerini araştırıyor ve karakterize ediyor.”
“Modellerimiz ve kontrollü bir laboratuvar ortamındaki deneysel sonuçlarımız, 720p web kamerası ile 10 mm kadar küçük yüksekliğe sahip ekran metinlerini yüzde 75’in üzerinde doğrulukla yeniden oluşturmanın ve tanımanın mümkün olduğunu gösteriyor.” Bu, başlıklar ve küçük başlıklar için yaygın olarak kullanılan bir yazı tipi boyutu olan 28 puntoya karşılık gelir.
Ann Arbor Michigan Üniversitesi’nden sorumlu yazar ve doktora adayı Yan Long, “Günümüzdeki 720p kameranın saldırı kapasitesi, genellikle ortalama dizüstü bilgisayarlarda 50-60 piksellik yazı tipi boyutlarıyla eşleşiyor” dedi. Kayıt.
“Bu tür yazı tipi boyutları çoğunlukla slayt sunumlarında ve bazı web sitelerinin başlıklarında/başlıklarında bulunabilir (örneğin, https://www.twitch.tv/p/en/about/ adresinde ‘Size sohbette yer ayırdık’) “
Yansıtılan başlık boyutundaki metni okuyabilmek, 9 ila 12 puntoluk daha küçük yazı tiplerini okuyabilmenin mahremiyet ve güvenlik sorunu değildir. Ancak bu tekniğin, yüksek çözünürlüklü web kameraları daha yaygın hale geldikçe daha küçük yazı tipi boyutlarına erişim sağlaması bekleniyor.
Long, “Gelecekteki 4k kameraların neredeyse tüm web sitelerindeki ve bazı metin belgelerindeki çoğu başlık metnine göz atabileceğini gördük” dedi.
Amaç, yalnızca bir video toplantı katılımcısının ekranında görünen belirli bir web sitesini bir gözlük yansımasından belirlemek olduğunda, Alexa’nın en iyi 100 web sitesi arasında başarı oranı yüzde 94’e yükseldi.
Long, “Bu saldırının olası uygulamalarının, örneğin patronların bir video iş toplantısında astlarının nelere göz attığını izlemesi gibi günlük faaliyetlerde rahatsızlıklara neden olmaktan, yansımaların müzakereyle ilgili önemli bilgileri sızdırabileceği iş ve ticaret senaryolarına kadar uzandığına inanıyoruz” dedi. .
Saldırının hem rakiplerin konferans oturumlarına katılmasını hem de kayıtlı toplantıları elde edip kayıttan yürütenleri öngördüğünü söyledi. “YouTube gibi çevrimiçi videoları sıyırmak ve videolardaki gözlüklerden ne kadar bilgi sızdırıldığını analiz etmek gelecekteki araştırmalar için ilginç olurdu” dedi.
Bir video konferans katılımcısının gözlüğüne yansıyan metnin okunabilirliğini çeşitli faktörler etkileyebilir. Bunlar, toplantı katılımcısının ten rengine, çevresel ışık yoğunluğuna, ekran parlaklığına, web sayfası veya uygulama arka planıyla metnin kontrastına ve gözlük camlarının özelliklerine dayalı yansımayı içerir. Sonuç olarak, her gözlük takan kişi, rakiplerine mutlaka yansıtılmış ekran paylaşımı sağlamayacaktır.
Muhtemel hafifletmelerle ilgili olarak, boffin’ler Zoom’un zaten Arka Plan ve Efektler ayarları menüsünde yansımayı engelleyen opak çizgi film gözlüklerinden oluşan bir video filtresi sağladığını söylüyor. Skype ve Google Meet bu savunmadan yoksundur.
Araştırmacılar, diğer daha kullanışlı yazılım tabanlı savunmaların, gözlük camlarının hedeflenen bulanıklaştırılmasını içerdiğini savunuyorlar.
“Şu anda platformların hiçbiri bunu desteklemese de, değiştirilmiş bir video akışını video konferans yazılımına enjekte edebilen gerçek zamanlı bir gözlük bulanıklaştırma prototipi uyguladık” diye açıklıyorlar. “Prototip programı gözlük alanını bulur ve alanı bulanıklaştırmak için bir Gauss filtresi uygular.”
Python kodu GitHub’da bulunabilir. ®