Насир Мемон, профессор компьютерных наук и инженерии Нью-Йоркского университета в Тандоне, объяснил, что технология, называемая «IllusionPIN», использует клавиатуру с гибридным изображением, которая видна в одном направлении для пользователя крупным планом, а в другом — для наблюдателя на расстоянии трех футов или более больше. Базовая технология смешивает одно изображение конфигурации клавиатуры с высокой пространственной частотой и вторую, совершенно другую конфигурацию клавиатуры с низкой пространственной частотой.
Видимость каждого изображения зависит от расстояния, с которого оно просматривается.«Традиционная конфигурация цифр на клавиатуре настолько знакома, что наблюдатель может распознать PIN-код или код доступа после нескольких просмотров видео наблюдения», — сказал Мемон. «На устройстве, на котором запущен IllusionPIN, пользователь, который находится ближе всего к устройству, видит одну конфигурацию чисел, но кто-то, смотрящий издалека, видит совершенно другую клавиатуру».IllusionPIN перенастраивает клавиатуру для каждой попытки аутентификации или входа в систему.
Исследовательская группа, в которую также входят докторанты NYU Tandon Афанасиос Пападопулос, Тоан Нгуен и Эмре Дурмус, смоделировала серию атак на смартфоны, чтобы проверить эффективность IllusionPIN на различных расстояниях. В общей сложности они выполнили 84 попытки серфинга по плечу на 21 участника, ни одна из которых не увенчалась успехом. Для сравнения, они также организовали 21 атаку "серфингом по плечу" на незащищенные телефоны, используя те же параметры расстояния; все 21 атака были успешными.
Команда также определила, что IllusionPIN делает практически невозможным кражу PIN-кода или другой аутентификационной информации с использованием видеозаписей наблюдения.Осведомленность о потенциальной угрозе, исходящей от серфинга по плечу, значительно возросла за последнее десятилетие, с момента появления первых смартфонов. И хотя достоверных статистических данных о распространенности атак с использованием серфинга через плечо нет, исследование 2016 года, проведенное Мемоном и Нгуеном, показало, что 73 процента опрошенных пользователей мобильных устройств сообщили, что они наблюдали за чужим PIN-кодом (хотя и не обязательно со злым умыслом), и исследование осведомленности о плечевом серфинге, проведенное в 2017 году на конференции ACM по человеческому фактору в вычислительных системах, показало, что 97 процентов опрошенных заявили, что осведомлены об инциденте с плечевым серфингом в повседневной жизни, и что в большинстве случаев жертвы не знали, что они наблюдается.
«Аутентификация с помощью PIN-кода популярна по веским причинам, а именно из-за того, что ее легко использовать и запоминать», — сказал Мемон. «Наша цель состояла в том, чтобы повысить устойчивость аутентификации по PIN-коду, не напрягая устройство и не ставя под угрозу взаимодействие с пользователем».