Övertäckt kamera räcker inte – ljussensorer kan läsa av lösenord

Har redan "Adaptive Brightness"-servicen avstängd och webbkameran inaktiverad i Enhetshanteraren.

Frågan är om jag borde göra något mer? Någon som har koll på om sensorn är en enhet i sig?

Vissa telefoner är så prispressade att kamerorna är det som agerar ljussensor, medans i andra mobiler har du flertalet ljusensorer både under skärmen och under höljet på baksidan av telefonen. Det är lite rysk roulette med både ljudsensorer och distanssensorer på moderna mobiler, företagen har implementerat dem i programvara istället och låter andra komponenter ta hand om det, på gott och ont.

Då är de redan inne.

Ett annat större problem är alla kameror precis överallt och man ska logga in överallt. Vilka personer har behörighet att se dessa allmänna kameror? Jag tänker t.ex. folk som loggar in på deras jobblaptop på bussen och tåget.
Extra känsligt blir det om t.ex. en tysk loggar in på sin jobbdator för ett större tysk företag.

Spontant som redan nämnts;
Om de kan utföra dessa attacker, innebär det inte i praktiken att de redan är inne och bör kunna utföra större angrepp än att kolla vad du skriver in för lösenord?

Sedan känns det som att hela saken med stulna lösenord kan vara aningen passé, så länge 2FA finns tillgängligt räcker det inte längre med lösenord på långa vägar. Sedan är jag för dåligt insatt för att koppla dessa säkerhetsrisker med saker som Keypass, där kanske någon annan kan upplysa.

Oj, tror du har lite övertro på deras kapacitet. Har du spetskompetens inom IT-säkerhet så är statlig verksamhet inte så bra betalt.

Jag tror tvärt om, flera år EFTER att hack blir publika så lyckas säkerhetstjänster inkorporera det

Tänk på att det inte räcker med att stänga av mobilen heller, utan du ska plocka ut batteriet!

Man behöver antagligen inte installera något alls. Frågan är vad en annons på exempelvis Aftonbladet kan få tillgång till?
https://developer.chrome.com/docs/capabilities/web-apis/gener...

Har även ropat varg ang. Edge WebView2 appar ett tag nu, då det möjliggör att en äldre och opatchad webbmotor döljs på datorn. Dvs liknande säkerhetsrisk som när många program bundlade en egen version av Adobe Flash.

Har du 2FA aktiverat på Sweclockers?

Mobilappar kan läsa av ljussensorn hur de vill, men har inga rättigheter att komma åt andra appar eller lösenord (om man inte matar in dem i just det programmet då). Du lär kunna skapa en app som ligger i bakgrunden och läser av ljussensorn.

Om det även går att göra något snarlikt i webbläsare så blir ju datorer ganska lätt drabbade den vägen också.

Det är verkligen skrämmande hur osäkra alla enheter egentligen är. Bara en tidsfråga innan man hittar nästa säkerhetshål. Går och hämtar aluminiumfolien nu.

Enklare att gömma såna här funktioner i appar som är annars vettiga. Speciellt om telefonen inte frågar efter godkännande för att läsa av den sensorn. Då är det ju fritt fram för vilken app som helst att göra detta.

Stulna lösenord är verkligen inte passé. Visst 2FA hjälper, men spammar du 2FA requests så brukar folk godkänna av misstag eller bara för att slippa höra ljudet.

Och sen för att inte tala om alla tjänster där 2FA saknas.

Känns som att mer och mer som att säkerhet är en falsk trygghet. Kommer nog alltid finnas sidokanaler att smita förbi all säkerhet man kan tänka sig om man inte sitter på ren gentoo och kompilerar allt från källkod

Känns som att alla moderna saker bygger på tusentals andra saker, som var och en bygger på hundratals till, alla som kan hackas och tar veckor att bara släppa patchar. Varje ny version kommer med nya buggar

Även om man kör perfekt kryptering så kan den ju läckas av ett javascript i en webbläsare så länge man hittar en ny variant av specre eller andra dumheter… kommer aldrig bli säkra

Fanns för något årtionde sen några som med en riktad mikrofon knäckte kryptering baserat på ljudet från en dator, alltså mikrovibrationer baserat på strömförbrukningen på processorn skapade ljud som gick att extrahera nyckeln från. På 10 meters avstånd… går inte att skydda sig

Tänkte direkt... vad är det för modeller som har ljussensorn placerad så pass långt bort från kameran att den inte täcks samtidigt när man tejpar över kameran?

Använder 2FA på alla tjänster eller hemsidor som har den funktionen; antingen SMS, epost eller autentiserings-applikation (beroende på vad tjänsten/hemsidan har för alternativ).

Okej jag ska försöka utveckla lite mer;
Passé kanske är att ta i, men det är inte långt ifrån vad jag menar heller.

En stor andel av hemsidor eller tjänster som bedriver seriös verksamhet använder idag 2FA eller till och med BankID — i alla fall de jag brukar. Om någon skulle komma över säg.. mitt lösenord för SweClockers, då är det inte ett problem helt enkelt. Utöver 2FA i sig erbjuder en stor andel aktörer notifikationer både som push-meddelande och e-post när inloggning sker.

Hemsidor eller tjänster som inte brukar 2FA, inloggningsvarning eller saker som BankID – det är inte något jag skulle betro med kritisk information i någon kapacitet till en början. Kort sagt om jag blir av med lösenordet för något, då finns det inte mycket att hämta i alla fall, för det krävs mer än bara lösenord för att faktiskt orsaka någon reell skada – värsta som kan ske är frustration och tillhörande irritation med att behöva återställa lösenordet på den drabbade sidan.

Sedan om jag aktivt väljer att ignorera eventuella varning om inloggningar eller bara vind för våg godkänner varenda 2FA som kommer på min telefon, då har jag bara mig själv att beskylla om jag skulle bli utsatt för intrång. Det är handhavande fel och vårdslöshet, ett självförvållat problem.

Jag förstår att alla kanske inte sätter upp 2FA annat än när det krävs, eller för den delen ens använder unika lösenord på alla hemsidor. Många har även tendens att fylla i allt för personlig information på var och varannan hemsida. Men igen vill jag påstå att det är i stora drag ett självförvållat problem, speciellt då många hemsidor/tjänster brukar vara redligt duktiga när det kommer till att tjata på sina användare om att aktivera alla säkerhetsfunktioner som erbjuds (2FA, mobiltelefon eller epost-backup mm.).

Nu använder de en laser och kan avläsa mikrovibrationer mer än 500 m avstånd.

Som nån har redan skrivit, kan det vara flera sensorer under själva skärmen i dem dyrare modeller, eller kan själva kameran agera som en ljussensorn i dem billiga telefoner. Vill du veta mer, kan man kolla sprängskissen på mobilen, eller lägga mobilen under en stark bordslampa med automatisk skärm ljusstyrka anpassning på. Och börja täcka delar av skärmen. Du kommer att se direkt var du behöver täcka för att ljusstyrkan skulle börja sjunka. Börja med kameraåmrådet 😉

Självklart.

Jag förstår vad du menar, men samtidigt;
Om någon med intern access likt en ID-admin missköter sina säkerhetsrutiner bör det rimligen finns spärrar på plats för att det inte ska räcka med lösenordet från den individen också. Allt annat är rent krasst ett dåligt skämt ärligt talat

Som exempel den tjänsten jag vikarierade på förra sommaren;
Där krävdes det först en Bitlocker, sedan ett lösenord för kontot, sedan skulle man koppla upp sig mot en VM med lösenord och 2FA, därefter var det ännu en säkerhetspromp att ta sig förbi för att ens nå övervakningen. Från övervakningen var det fler steg ändå för att faktiskt nå något som skulle kunna anses kritiskt.

I en perfekt värld ja.

Verkligheten är väldigt annorlunda tyvärr. Säger inte att alla bolag suger på säkerhet, men väldigt många gör det.