شبکه‌های اجتماعی راه جدید هکرها برای نفوذ

به گزارش واحد هک و نفوذ سایبربان؛ با فراگیری سیستم‌های احراز هویت دوربین محور، هکرها می‌توانند با بازسازی چهره سه‌بعدی کاربران با عکس‌هایی که از آن‌ها در شبکه‌های اجتماعی منتشرشده، سیستم احراز هویت را فریب دهند و به‌سادگی به تجهیزات آن‌ها نفوذ کنند.

بسیاری از تجهیزات دیجیتال این روزها برای احراز هویت کاربران و اطمینان از این‌که کسی غیر از صاحب دستگاه نمی‌تواند وارد آن شود، از داده‌های بیومتریک استفاده می‌کنند. مثلاً ورود به آی‌فون یا دیگر گوشی‌های هوشمند با اثرانگشت‌هایی که پیش‌تر به گوشی معرفی‌شده، یا ورود به لپ‌تاپ از طریق آنالیز چشم یا چهره کاربر با دوربینی که روی آن نصب است.

اما بهره‌گیری از داده‌های یکتای بیومتریک برای ارتقای امنیت، آسیب‌پذیری‌های امنیتی یکتا و جدیدی هم پدید آورده که کار هکرها را برای نفوذ به سیستم‌های شما آسان می‌کند. مثلاً اگر احراز هویت از طریق رؤیت صورت کاربر انجام شود، چطور باید مطمئن شد آنچه در برابر دوربین قرارگرفته واقعاً صورت کاربر است یا تصویری از صورت او؟

تجهیزات دیجیتالی که رمزشان با مشاهده صورت کاربر گشوده می‌شود، اخیراً حسگرهای حرکتی مخصوصی تعبیه کرده‌اند تا مطمئن شوند آنچه در برابر دوربین قرارگرفته صورت «زنده» یک کاربر است و نه تصویری ساکن از او. برخی از این سیستم‌ها حتی از کاربران می‌خواهند که حرکت خاصی از خود نشان دهند: مثلاً رو به دوربین با چشم‌چپ چشمک بزنند، یا ابروی راست خود را بالا دهند.

بااین‌همه، هکرها بازهم توانسته‌اند برای فریب این حسگرها راه‌های منحصربه‌فردی پیدا کنند. در مقاله‌ای علمی که در سمپوزیوم امنیتی «یوزنیکس» (از بزرگ‌ترین گرد هم‌آیی‌های هکرهای جهان) در هفته‌های گذشته ارائه شد، گروهی از پژوهشگران نشان دادند که با استفاده از «واقعیت مجازی» و بهره‌گیری از تصاویری که خود کاربران در شبکه‌های اجتماعی منتشر کرده‌اند، می‌توان مدلی مجازی از آن‌ها را بازسازی کرد که می‌تواند به‌سادگی سیستم احراز هویت را فریب دهد و حتی کارهایی که از کاربر خواسته‌شده را انجام دهد: ابرو بالا بی اندازد یا چشمک و لبخند بزند.

این مدل مجازی که با تصاویر با رزولوشن بالا از اکانت‌های کاربران در فیس‌بوک و توییتر و... ساخته می‌شود، بااتصال به یک هدست VR واقعیت مجازی، ازجمله Oculus فرآیند احراز هویت و حسگرهای حرکتی را هم‌زمان فریب می‌دهد.

همه پنج سیستم احراز هویتی که در این پژوهش بررسی‌شده‌اند، در مقابل این تکنیک نوین نفوذ آسیب‌پذیر بوده‌اند. عکس‌های باکیفیتی که از خود در شبکه‌های اجتماعی منتشر می‌کنید، مستقیماً به کمک هکرها می‌آیند تا بتوانند هویت شمارا جعل و از آن برای ورود به دستگاه‌ها و تجهیزاتی که متعلق به شماست استفاده کنند. حتی تصاویر کم کیفیت هم امکان جعل را فراهم می‌کنند، ولی احتمال موفقیت تصاویر کم کیفیت کمی هم کاهش می‌یابد.

هکرهایی که این پژوهش را انجام داده‌اند می‌گویند: «حرف ما این است که نوع کاملاً تازه‌ای از حملات سایبری به‌زودی به راه خواهد افتاد که تهدیدی جدی برای همه سیستم‌های احراز هویت دوربین محور است و محور این حملات تکنولوژی واقعیت مجازی و مدل‌سازی سه‌بعدی است.»

به اعتقاد آن‌ها تنها در صورتی امنیت این سیستم‌ها ارتقا می‌یابد که داده‌های بررسی پذیر دیگری هم برای احراز هویت از کاربران خواسته شود تا مطمئن شوند آن‌کسی که در برابر دوربین چشمک می‌زند خود کاربر است، نه مدلی سه‌بعدی از او که از عکس‌های عمومی خودش ساخته‌شده. یکی از راه‌های پیشنهادی آن‌ها بررسی داده‌های حرارتی است که از پوست کاربران ساطع می‌شود.