Onderzoek: weerspiegeling van brilglas kan data lekken tijdens videobellen

Videobellen en videoconferenties zijn inmiddels gemeengoed geworden, maar personen die een bril dragen kunnen door de weerspiegeling van hun glazen onbedoeld informatie van hun beeldscherm delen, zo stellen onderzoekers van de University of Michigan en Zhejiang University op basis van eigen onderzoek (pdf). In een gecontroleerde laboratoriumopstelling met een 720p webcam bleek het mogelijk om met een nauwkeurigheid van meer dan 75 procent tekst te herkennen van slechts tien millimeter groot die via de brilglazen werd weerspiegeld.

Met de komst van 4k-camera’s zal het volgens de onderzoekers eenvoudiger voor aanvallers worden om weerspiegelde tekst in brilglazen te herkennen. Naast de identificatie van weerspiegelde tekst keken de onderzoekers ook of ze konden zien welke website iemand geopend had. Hiervoor werd met de honderd populairste websites gewerkt. Zelfs zonder machine learning bleek het met een 720p webcam mogelijk om 94 procent van de bezochte websites aan de hand van de weerspiegeling te herkennen.

“We denken dat de toepassingen van deze aanval variëren van het veroorzaken van ongemak in dagelijkse werkzaamheden, zoals een baas die monitort welke websites medewerkers tijdens een zakelijke meeting bezoeken, tot business- en handelsscenario’s waarbij de weerspiegelingen belangrijke onderhandelingsgerelateerde informatie kunnen lekken”, aldus onderzoeker Yan Long tegenover The Register.

Als mogelijke oplossing adviseren de onderzoekers het gebruik van “real-time eyeglass blurring” software, waarbij de weerspiegeling onherkenbaar in de videostream wordt gemaakt. Sommige videoconferentiesoftware biedt al dergelijke opties, hoewel dit niet in alle gevallen goed werkt. Vanwege de verschillende factoren die invloed op de kwaliteit van de weerspiegelde tekst hebben, zoals omgeving, software-instellingen en gebruikte hardware, is het volgens de onderzoekers niet haalbaar om één bepaalde set van beschermende instellingen te adviseren of implementeren.

Image

Bron: Security.nl

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.

12Privacy.nl