Представлен метод перехвата нажатия клавиш через графические библиотеки
Метод позволяет определить нажатия клавиш как на физической, так и на экранной клавиатуре.
Совместная группа исследователей из Калифорнийского университета в Риверсайде, Политехнического университета Виргинии и Исследовательской лаборатории армии США разработала метод атаки по сторонним каналам, позволяющий определить нажатия клавиш путем наблюдения за тем, как процессор обрабатывает код, полученный от графических библиотек. Идея основана на том, что через код, используемый для отображения текста на экране через графические библиотеки, можно получить «подсказки» об обрабатываемой информации, даже в том случае, если текст защищен паролем. С помощью данных «утечек» возможно с высокой точностью определить, какой текст вводит пользователь, утверждают ученые. По их словам, вредоносный код можно скрыть в официальных приложениях, что снизит риск его обнаружения антивирусными продуктами.
По сравнению с классическими кейлоггерами новый метод обладает рядом преимуществ, в частности, позволяя определять нажатия клавиш на экранной клавиатуре, а не только на физической. Кроме того, он может работать на любой ОС, включая мобильные — в ходе экспериментов исследователи смогли перехватить нажатия клавиш на устройствах с Ubuntu и Android.
Однако пока пользователям не стоит опасаться, поскольку новый метод является только теоретическим. К тому же, непрофессиональным хакерам осуществить подобную атаку будет чрезвычайно сложно. Для этого атакующему потребуется изучить, как операционная система взаимодействует с графическими библиотеками на устройствах с определенными архитектурами, и иметь представление об аппаратных характеристиках компьютера жертвы и используемом программном обеспечении.
Результаты своей работы исследователи планируют представить на конференции Network and Distributed System Security Symposium, которая состоится в феврале 2019 года. В будущем они намерены опубликовать PoC-код атаки, а пока ниже можно посмотреть видео с демонстрацией нового метода.