细思极恐!眼镜镜片反射会泄露Zoom会话信息
导语:安全专家声称,普通的眼镜偷偷给黑客开了一道窗户,从而窥视贵公司在视频会话中的宝贵数据。
安全专家声称,普通的眼镜偷偷给黑客开了一道窗户,从而窥视贵公司在视频会话中的宝贵数据。
美国密歇根大学和中国浙江大学的研究人员想要向世人强调这个风险:戴眼镜的视频会议参与者如何通过眼镜镜片反射,无意中泄露敏感的屏幕上信息。
随着新冠疫情阴影久散不去、远程工作模式大行其道,视频会议已变得司空见惯。这些研究人员认为,随之而来的隐私和安全问题值得进一步关注;他们一直在留意这种不同寻常的攻击途径。
预印本服务器ArXiv近期发布了一篇题为《窥视之眼:论述视频会议中通过眼镜镜片反射窥视文本屏幕的局限性》的论文(https://arxiv.org/pdf/2205.03971.pdf),Yan Long、Chen Yan、Shilin Xiao、Shivan Prasad、Wenyuan Xu和Kevin Fu这几位研究人员在论文中描述了他们如何分析眼镜镜片反射的来自视频屏幕的光发射。
这群计算机科学家探究和描述了基于光攻击的切实可行的威胁模型,这种光攻击针对视频帧序列使用了多帧超分辨率技术。
受控实验室环境中的模型和实验结果表明,可以使用720p网络摄像头重现和识别高度仅10毫米的屏幕文本,准确率超过了75%。密歇根大学安阿伯分校的通讯作者兼博士生Yan Long在发给外媒的电子邮件中解释,如今720p摄像头的攻击能力常常适用于普通笔记本电脑上的50-60像素这种大小的字体。这样的字体大小主要出现在幻灯片演示文稿和一些网站的抬头/标题中。
能够读取反射的标题大小文本是一个隐私和安全问题,并不代表只能读取较小的9磅到12磅字体。随着高分辨率网络摄像头变得越来越普遍,这种技术有望读取更小尺寸的字体。未来的4k摄像头将能够读取几乎所有网站和一些文本文档上的大多数标题文本。
如果目标是从眼镜镜片反射识别视频会议参与者的屏幕上可以看见的特定网站,Alexa前100个网站中的成功率就上升到94%。
这种攻击可能会有多种用途,有的只是日常活动中引起不适,比如老板监控下属在视频工作会议中浏览什么内容,镜片反射还可能泄露商业谈判的重要信息。
诸多因素会影响视频会议参与者戴的眼镜中镜片反射的文本具有的易读性。这包括受会议参与者肤色、环境光强度、屏幕亮度、文本与网页或应用程序背景的对比度以及眼镜镜片特性等影响的反射率。因此,并非每个戴眼镜的人都一定会向对方泄露镜片反射的屏幕信息。
至于潜在的应对措施,研究人员表示,Zoom已经在其背景和效果设置菜单中提供了一个视频滤波,包括可以阻止反射的不透明卡通眼镜。Skype和Google Meet都没有这种防御功能。
研究人员认为,其他更实用的基于软件的防御措施包括针对性地模糊眼镜镜片。
虽然眼下没有任何一个平台支持,但研究人员已实现了一个实时眼镜模糊原型,可以将修改后的视频流注入到视频会议软件。原型程序可定位眼镜区域,并使用高斯滤波来模糊该区域。
Python代码放在了GitHub上:https://github.com/VidConfSec/EyeglassBlurFilter。
发表评论