Сначала программа удаляет на изображении собеседника фон, а затем переводит картинку в оттенки серого. После чего алгоритм находит на изображении лицо, а потом руки. А уже затем оставляет только контур рук, на основании смещения которых рассчитывается вероятность того, какое слово вводится на клавиатуре. Разработчики проверили свою систему на камерах и приложениях. Метод оказался вполне рабочим.
"Атака реализована на уровне концепции и пока не применяется в реальном мире, объясняет Виталий Трифонов, замруководителя лаборатории компьютерной криминалистики Group-IB. - Точность пока еще недостаточная для коммерческой эксплуатации, а у злоумышленников пока нет этой программы и ее алгоритмов".
Но, по мнению эксперта, это один из примеров возможных атак будущего, которые могут стать актуальными уже в ближайшее время. "Трудно представить, что злоумышленник окажется на видеозвонке с коллегами, поэтому на мой взгляд наибольшей опасности подвергаются стримеры и ведущие вебинаров, - резюмирует Трифонов. - Они вещают на неограниченную аудиторию и часто во время трансляций логинятся в игровые аккаунты и различные информационные системы. Очевидно, реализовав такую атаку, можно долгое время собирать множество учетных данных, а потом в один момент перехватить все аккаунты без двухфакторной аутентификации".
Визуальное распознавание паролей и других слов, которые вводятся с клавиатуры, вполне возможно, тем более, если улучшить с помощью использования нейросетей качество алгоритма, восстанавливающего набранный текст по движениям рук. Поэтому при проведении видеозвонков необходимо стараться, чтобы руки при вводе текста не попадали в поле зрения камеры, предупреждает Анатолий Сазонов, ведущий специалист блока консалтинга Infosecurity a Softline Company. "Для организации видеозвонков следует выбирать приложения, использующие сквозное шифрование (в их числе Apple FaceTime, Whatsapp, Google Duo, Skype for Business, Cisco WebEx), что усложнит доступ к вашим данным для злоумышленников", - объясняет он.
Также специалисты советуют соблюдать правила безопасности во время организации видеовызовов: "Не стоит делиться URL приглашением публично, например, в социальных сетях. Кроме того, необходимо использовать пароли для подключения к конференци, а приложения видеоконференций скачивать только с официальных сайтов или магазинов приложений, например Google Play и App Store", - предупреждает Сергей Забула, руководитель группы системных инженеров по работе с партнерами, Check Point Software Technologies в России.
Рекомендуется обращать внимание и на фон во время проведения видеоконференции. "И если в большинстве случаев в этом нет ничего страшного, то в единичных случаях непродуманный фон представляет определенную опасность. Банальный пример: за спиной руководителя стоит флипчарт, на котором сохранились записи с закрытого совещания, где обсуждались вопросы, представляющие коммерческую тайну", - утверждает Максим Смирнов, коммерческий директор компании IVA Technologies.