Сводная группа исследователей из Калифорнийского университета в Риверсайде, Политехнического университета Виргинии и Исследовательской лаборатории армии США поделилась со СМИ деталями свой работы «Unveiling your keystrokes: A Cache-based Side-channel Attack on Graphics Libraries». Официально эксперты представят это исследование на конференции Network and Distributed System Security Symposium, которая состоится в феврале 2019 года.
Эксперты решили подойти к вопросу перехвата нажатий клавиш, как к атаке по стороннему каналу (side-channel attack). То есть вместо применения обычного кейлоггера они решили сконцентрироваться на наблюдении за процессором, который обрабатывает код, полученный от стандартных графических библиотек. Дело в том, что через код, который используется для рендеринга отображающейся на экране информации посредством стандартных графических библиотек, можно получить «подсказки» относительно обрабатываемого контента, даже если сам текст защищен паролем.
Атака концентрируется на совместной памяти (shared memory) CPU, на которую графические библиотеки полагаются в ходе рендеринга UI операционной системы. Концепт, созданный исследователям, позволяет с высокой точностью «угадывать» вводимый пользователем текст, используя для этого вредоносный процесс, который наблюдает за утечками.
Исследователи подчеркивают, что в отличие от простых кейлоггеров такой метод не требует административных или иных привилегий, а также root-доступа. Такую атаку можно скрыть за фасадом легитимного приложения, и постепенно восстанавливать последовательности нажатий клавиш, при этом не опасаясь обнаружения со стороны защитных решений и антивирусов. К тому же таким способом можно следить за нажатиями клавиш не только на физической, но и на экранной клавиатуре. В теории этот метод может быть адаптирован для любых операционных систем, включая мобильные. Во время своих текстов специалисты работали с Ubuntu и Android.
К счастью, осуществить подобную атаку по стороннему каналу, не обладая глубокими познаниями в ряде областей, вряд ли получится. Эксперты объясняют, что злоумышленнику как минимум придется детально изучить, как операционная система взаимодействует с графическими библиотеками на определенном железе и архитектурах. Кроме того, понадобится узнать точные спецификации аппаратного обеспечения жертвы, а также узнать, каким ПО пользуется цель и откуда нужно похитить данные (скорее всего, логин и пароль).
Текущий proof-of-concept исследователей позволяет перехватывать только цифры и символы нижнего регистра, но, если нужно, атакующий может перейти на другую модель прогнозирования и сможет распознавать символы в верхнем регистре и спецсимволы.
Пока эксперты опубликовали только PoC-видео, демонстрирующее атаку в действии, которое можно увидеть выше. Но после представления доклада на Network and Distributed System Security Symposium они планируют обнародовать в открытом доступе и исходные коды для своей атаки.
