中国とシンガポールの機関に所属する一部の賢い人物が、ハードウェアをハッキングすることなく、公共ネットワーク上のWi-Fi接続されたモバイルデバイスからキー入力を読み取り、パスワードやパスコードを盗む手法を考案した。
この技術は、強力なネットワーク接続を確保したり、Wi-Fi センシングなどのアプリケーションに役立つ無線信号特性に関するデータで構成されるビームフォーミング フィードバック情報 (BFI) のおかげで可能になりました。
ビームフォーミングとは、電波を全方向に送信するのではなく、受信対象のデバイスに向けて電波を集中させる技術です。Wi-Fi 802.11acで標準化されましたが、生成されるビームフォーミング信号(BFI)はパブリックネットワーク上で保護されていない平文で送信されるため、セキュリティに関する十分な配慮がなかった可能性があります。
これは、カフェ、ショッピングモール、空港など、パスワードで保護されていない、誰でもアクセスできるネットワークでは役に立ちません。パスワードで保護されたプライベートなネットワークだけを気にするのであれば、この記事の残りの部分は文字通り学術的な内容です。
また、この手法は保護されていない公共のWi-Fiを利用しているため、スヌーピングの標的はパスワードなどの機密情報を平文でネットワーク上に送信していないと想定されます。平文で送信する方が、BFIフレームをいじくり回すよりもはるかに容易に捕捉できます。標的はネットワークトラフィックを保護するためにHTTPS/TLSやVPNを使用していると想定されますが、その際には公共のWi-Fi経由で送信していると考えられます。
「ハッキングなしのパスワード盗用:Wi-Fiを利用した実用的なキーストローク盗聴」と題されたプレプリント論文において、Jingyang Hu氏、Hongbo Wang氏、Tianyue Zheng氏、Jingzhi Hu氏、Zhe Chen氏、Hongbo Jiang氏、Jun Luo氏は、BFIを捕捉し、その結果を分析することで数値パスワードを推測する方法を考案した経緯を説明しています。彼らの研究は、11月にデンマークで開催されるACM SIGSACコンピュータおよび通信セキュリティ会議に採択されました。
「我々は、ハッキングを必要とせずにスマートフォンのキー入力を盗聴するためにWiKI-Eveを提案している」と、中国の湖南大学、復旦大学、シンガポールの南洋理工大学と関係のあるコンピューター科学者らは説明した。
「WiKI-Eve は、最新の Wi-Fi ハードウェアが提供する新しい機能である BFI (ビームフォーミング フィードバック情報) を活用します。BFI はスマートフォンから AP [アクセス ポイント] に平文で送信されるため、監視モードに切り替わる他の Wi-Fi デバイスによって傍受 (つまり盗聴) される可能性があります。」
指の動きがどのように信号を妨害し、BFIで感知されるかを示した論文の図。クレジット:Hu et al
ここでKIは大文字で、「キーストローク推論」、つまりBFIデータからどのようなキーストロークが行われたかを推測することを意味します。監視対象者がスマートフォンやタブレット上で指を動かしてパスワードやパスコードなどを入力すると、デバイスと基地局間の無線ネットワークの無線信号の回折パターンが乱れ、BFIに反映されます。この回折パターンを盗聴することで、画面上でどのキーがタップされたかを推測できるとされています。
基本的に、被害者であるボブがパスワードを入力しているときに Wi-Fi フレーム内の BFI を記録することで、近くのスパイであるイブがディープラーニング モデルを使用して、入力されたパスワードと相関関係がある BFI サンプルの時系列データを収集できます。
この研究は実際に実用的な攻撃につながるでしょうか?おそらくノーでしょうが、それでも、これはかなり面白い手法であり、Regの読者にとっては興味深いものとなるかもしれません。
- 警告: Wi-Fi 仕様の曖昧さにより、ワイヤレスネットワークからデータが漏洩する可能性があります
- テクノロジー業界は、データ漏洩やセキュリティの弱体化を引き起こすFragAttacksのWi-Fi脆弱性をひっそりと修正している
- ICMPマジックを使えば、脆弱なHiSiliconやQualcomm搭載Wi-Fiをスヌープできる
- 光あれ…ベースの無線ネットワーク:LiFi仕様がWi-Fiの補完として承認
Wi-Fiパスワードを解読しようとするサイドチャネル攻撃は目新しいものではないと研究者らは述べ、音響測定、間接視覚(目の動きからパスワードを読み取る)、モーションセンサーといった技術が利用されてきたと指摘する。しかし、これらの技術には実用上の限界があり、依然として主に学術的な研究の域を出ていないと研究者らは主張している。
実用化にこうした障害がないサイドチャネルの 1 つが Wi-Fi CSI (チャネル状態情報) であり、研究者らは信号測定を通じてパスワードを推測するためにも使用できると述べています。
CSI の悪用については、2015 年の論文 [PDF]「WiFi 信号を使用したキーストロークの認識」や、WindTalker 攻撃について説明した 2016 年の論文「CSI と公衆 WiFi が出会うとき: WiFi 信号を介して携帯電話のパスワードを推測する」などに記載されています。
中国とシンガポールの専門家たちは、Wi-Fi技術の進化により、CSI盗聴はハッキングや特殊なハードウェアが必要になる場合があり、それほど容易ではないと主張している。BFIはより容易であり、チャネル変動の影響を受けにくくキー入力の推測が困難であるという利点があると主張している。
この技術は完璧ではなく、限界もあります。著者らは、「WiKI-Eveは、単一の数字キーの識別において88%の精度を達成し、6桁の数字パスワードの推測においてはトップ100の精度で85.0%を達成している」と主張しています。
「数値」という用語に注意してください。この研究は数字のパスワードに焦点を当てています。英数字のパスワードはより複雑で、BFI信号から解読するのがより困難だからです。
キャラクターを維持する
文字と数字(特殊文字は除く)を考慮すると、WiKI-Eveはキー入力の40%を正確に分類できます。しかし、研究者らは、この手法はWindTalkerやWINKといった他の攻撃よりも優れていると主張しています。
被害者のボブと Wi-Fi アクセス ポイントの距離も重要です。距離が 1 メートルから 10 メートルに増加すると、平均精度は約 23 パーセント低下しますが、このシナリオではイブとアクセス ポイントの距離は関係ありません。
「その結果、Eveは推論の精度を損なうことなく、遠くからこっそりと盗聴することができ、WiKI-Eveのo-IKI方式の利点を明確に示している」と研究者らは主張している。
防御策としては、暗号化を試してください。パスワードで保護されたWi-Fiネットワークを使用すると、BFIフレームが暗号化され、近くの他人によるデータの盗聴を防止できます。いずれにしても、プライベートで保護されたワイヤレスネットワークを使用することが一般的に推奨されます。
「WiKI-Eve は Wi-Fi BFI を盗聴することでキーストロークの盗聴を実現するため、最も直接的な防御戦略はデータ トラフィックを暗号化し、攻撃者が平文で BFI を取得するのを防ぐことです」と研究者らは述べています。®
