• 作者｜三分浅土
• 来源｜FreeBuf.COM
• 发布时间｜2021-02-18

---

近期，专家发现一种新的攻击方式。该攻击利用视频电话将可观察到的身体运动与正在输入的文本相联系，来推断出用户在视频电话时键入的信息。

这项研究是由Mohd Sabra和得克萨斯大学圣安东尼奥分校的Murtuza Jadliwala以及俄克拉荷马大学的Anindya Maiti进行的。他们表示，只要网络摄像头可以捕捉到目标用户的上半身动作，该攻击的范围就可以从视频电话扩展到YouTube和Twitch等视频网站上。

研究人员表示，随着视频捕获硬件嵌入越来越多的电子产品中，比如智能手机、平板电脑、笔记本电脑等，通过视觉渠道造成信息泄露的威胁在最近逐步扩增。此外，他们还称，这些攻击者的目标是利用在所有记录的帧上可观察到的上半身运动来推断受害者输入的私人文本。

为了实现这个目的，录制的视频被输入到基于视频的按键推断框架中，该框架经历了三个阶段：

1. 进行预处理：将背景移除后，视频将转为灰阶，然后用FaceBoxes的模型检测到的个人脸部，对左右手臂区域进行分割。

2. 按键检测：检索分割后的含有手臂动作的帧数来进行结构相似度指数测量（SSIM），量化左右两侧视频段中每个连续帧之间的身体动作，并识别出发生按键的潜在帧。

3. 单词预测：按键帧将用于检测每个按键前后的运动特征，并通过基于字典的预测算法来推断特定的单词。

换句话说，在检测到的按键帧池中，通过检测到的单词输入次数以及在单词的连续输入之间所发生的手臂位移的大小和方向来推断单词。

这种位移是用一种叫做稀疏光流的计算机视觉技术来测量的，这种技术被用来跟踪肩部和手臂在计时按键帧中的运动。

此外，还绘制了“标准QWERTY键盘上的键间方向”模板，显示出使用左右手混合的“打字者的手遵循的理想方向”。

然后，单词预测算法搜索最有可能的单词，这些单词与左手和右手按键的顺序和数量以及手臂位移方向与模板的按键间方向相匹配。

研究人员表示，他们在一个受控的场景中对20名参与者（9名女性和11名男性）进行了框架测试，采用了“hunt-and-peck”（这是一种不正确的输入形式，用户通常会使用食指在他们的键盘上寻找（hunt）位置，然后按下（peck）该键。）和触摸打字的混合方法，除此之外，他们还针对不同的背景、网络摄像头模型、服装（尤其是袖子的设计）、键盘，甚至是各种视频通话软件（如Zoom、Hangouts和Skype）来测试推理算法。

研究结果显示，“hunt-and-peck”打字者和穿着无袖衣服的人更容易受到单词推理攻击，同时使用Logitech摄像头的用户比使用Anivia外部摄像头的用户单词恢复效果更高。

再邀请10名参与者（3名女性，7名男性）在实验性的家庭设置中重复测试，成功推断出91.1%的用户名、95.6%的电子邮件地址和66.7%的网站，但只推断出18.9%的密码和21.1%的英文单词。

研究人员表示他们的准确率比In-Lab设置的差的原因之一是，参考词典的等级排序是基于英语句子中的单词使用频率，而不是基于人们产生的随机单词。

模糊、像素化和跳帧可以成为一种有效的缓解策略，但同时视频数据可以与通话中的音频数据相结合，进一步提高按键检测能力。

由于最近发生的世界性事件，视频通话已经成为个人和专业远程通信的新标准。然而，如果在视频通话中不够谨慎，就有可能向通话中的其他人透露个人信息。在现实环境下相对较高的按键推理准确率凸显了对此类攻击的认识和采取对策的必要性。

---

【安全资讯】打字动作暴露个人信息？专家发现新型视频通讯攻击方式相关推荐

1. MDNS的漏洞报告——mdns的最大问题是允许广域网的mdns单播查询，这会暴露设备信息，或者被利用用于dns放大攻击...

   Vulnerability Note VU#550620 Multicast DNS (mDNS) implementations may respond to unicast queries ori ...

2. 容器编排技术 -- kubernetes 通过环境变量向容器暴露 Pod 信息

   容器编排技术 -- kubernetes 通过环境变量向容器暴露 Pod 信息 1 Before you begin 2 Downward API 3 使用 Pod 字段作为环境变量的值 4 使用容器 ...

3. java exception信息_可能通过Java Exceptions暴露敏感信息？

   当信任边界交叉时,是否可以通过 Java Exceptions公开敏感的应用程序或系统信息? 我的意思是,不仅在理论上,而且如果在真实环境中发生这种情况. 例如java.io.FileNotFound ...

4. [免费专栏] Android安全之检测APK中调试代码是否暴露敏感信息

   也许每个人出生的时候都以为这世界都是为他一个人而存在的,当他发现自己错的时候,他便开始长大 少走了弯路,也就错过了风景,无论如何,感谢经历 Android安全付费专栏长期更新,本篇最新内容请前往: [ ...

5. kubernetes 通过环境变量向容器暴露 Pod 信息

   kubernetes 通过环境变量向容器暴露 Pod 信息 在学习docker的时候,大家可能经常看到不少示例在docker run的时候指定环境变量(比如wordpress的docker示例就是通过 ...

6. 喷上它就能凭空打字！鲍哲南团队开发新型智能皮肤，可准确识别手部动作，打字手语不在话下...

   萧箫 发自 凹非寺 量子位 | 公众号 QbitAI 注意看,这人的面前没有键盘. 但他在桌上做出打字动作后,电脑屏幕上就出现了对应的字母: △亚克力板只印刷了键位,不发出信号 这个神奇的" ...

7. 中国移动打造“移动信息专家”

   让信息通信服务社会方方面面 任定保 从"移动通信专家"到"移动信息专家",虽只是一字之差,却是一场从观念到实践的深刻转变. 为了使企业的市场观念得到快速转型,中 ...

8. mysql_error_trace.inc 后台地址_警惕：织梦dedecm漏洞data/mysql_error_trace.inc暴露后台信息...

   这篇文章主要为大家详细介绍了警惕:织梦dedecm漏洞data/mysql_error_trace.inc暴露后台信息,具有一定的参考价值,感兴趣的小伙伴们可以参考一下,有需要的朋友可以收藏方便以后借 ...

9. 他爬取了B站所有番剧信息，发现了这些……

   本文来自「楼+ 之数据分析与挖掘实战 」第 4 期学员 -- Yueyec 的作业.他爬取了B站上所有的番剧信息,发现了很多有趣的数据- 关键信息:最高播放量 / 最强up主 / 用户追番数据 / 云 ...

10. 未为dll加载任何符号_专家发现aspersky 和Trend Micro安全性解决方案中的DLL劫持问题...

    SafeBreach的研究人员发现了Kaspersky安全连接.Trend Micro最大安全性和Autodesk桌面应用程序中的几个DLL劫持漏洞,黑客可以利用这些漏洞进行DLL预加载.代码执行和权 ...

最新文章

1. Redis学习笔记(一)
2. android cmd
3. 博客园添加一个分享的
4. 2021 CSP-S 游记
5. 【异常（待解决）】org.apache.http.NoHttpResponseException: api.weixin.qq.com:443 failed to respond...
6. IBatisNet的配置（SqlMap.config）
7. ajax异步获取右侧html,Ajax异步获取html数据中包含js方法无效的解决方法
8. 数据结构12: 实践项目之进制转换器
9. 基于FPGA的车牌识别
10. 北京54坐标和经纬度坐标转换算法（C++）
11. ztree树默认根据ID默认选中该条数据
12. 微信公众号（测试号）开发
13. 今日笔记：Envi利用bandmath修改特定dn值
14. 来自和府捞面的信任，一起见证「客户的成功就是璞华的成功」
15. 笔记本电脑f11功能键_笔记本电脑按键功能详细图解_笔记本电脑键盘功能详细介绍是什么-win7之家...
16. 仅有爱情是不够的（转载）
17. 数据采集时总提示未登录_做电商必须学会这一招！教你用爬虫工具免费采集网易考拉商品数据...
18. 正则表达式中，表示匹配非数字字符的字符
19. Rasa Stack：创建支持上下文的人工智能助理和聊天机器人教程
20. python表示整除的符号_c语言中整除符号怎么表示？_后端开发

热门文章

1. 手摸手教你写个chrome插件
2. CSS移动子元素div,父元素div跟着移动问题解决
3. 肖 sir_就业课__012app测试讲解
4. MySQL高级—MysqlDay3
5. 12_Python基础_Python文件读写
6. 如何构建自己学术体系
7. 汽车驾驶 - 你的汽车该用哪种汽油？
8. chromedriver驱动器下载地址
9. 向上的箭头 html,jquery – 自定义HTML数字输入中向上/向下箭头的外观
10. mybatis mysql 方言_iBatis3基于方言(Dialect)的分页