연구원들은 대부분의 모바일 기기와 노트북에 있는 주변광 센서를 사용하여 사진을 찍는 방법을 발견했습니다. 이 연구는 공포를 조장하는 사람들과 클릭할만한 헤드라인을 만들어냈습니다. 연구 결과는 흥미롭고 악의적인 행위자에 의한 남용 가능성을 보여 주지만 기존 기술을 사용하는 공격 벡터로서의 타당성은 심각하게 제한됩니다.

MIT 컴퓨터 과학 및 인공 지능 연구소(CSAIL)의 연구원들은 대부분의 모바일 장치와 많은 노트북에 있는 주변 광 센서만을 사용하여 이미지를 캡처하는 방법을 개발했습니다. "주변광 센서의 개인 정보 보호 위협 이미징"이라는 제목의 이 연구는 셀카 카메라와 달리 해당 구성 요소를 끄는 설정이 없기 때문에 잠재적인 보안 위협을 제기합니다. 또한 응용 프로그램을 사용하기 위해 사용자 권한이 필요하지 않습니다.

Science Advances에 1월에 발표된 연구 기사의 공동 저자인 Liu Yang은 "사람들은 노트북과 태블릿의 셀카 카메라가 때때로 물리적 차단기를 사용하여 이를 차단한다는 것을 알고 있습니다."라고 말했습니다. "그러나 주변광 센서를 사용하면 사람들은 애플리케이션이 데이터를 사용하고 있다는 사실조차 알지 못합니다. 그리고 이 센서는 항상 켜져 있습니다."

일반적으로 광센서는 빛의 도착에 대한 데이터만 제공할 수 있어 유용성이 제한되기 때문에 이를 사용하는 응용 분야가 많지 않습니다. 주요 기능은 화면 밝기를 자동으로 조정하기 위해 운영 체제에 주변광 데이터를 제공하는 것이지만 API도 제공합니다. 따라서 개발자가 접근하여 사용할 수 있습니다. 예를 들어 애플리케이션은 API를 사용하여 저조도 모드를 켤 수 있습니다. 대부분의 기기에 있는 카메라 앱으로 이 작업을 수행할 수 있습니다.

이미지를 캡처하는 것은 기본적으로 초당 약 5개의 "프레임"으로 밝기를 측정하는 렌즈가 없는 단일 픽셀 센서이기 때문에 훨씬 더 복잡합니다. 이러한 단점을 극복하기 위해 연구자들은 공간 해상도를 위해 시간 해상도를 희생하여 최소한의 데이터로 이미지를 재구성할 수 있었습니다.

이 프로세스는 헬름홀츠 상호성이라는 물리학 원리를 사용합니다. 이 개념은 빛의 광선이 반대 방향으로 동일한 경로를 이동하는 경우 광선 경로에서 경험하는 반사, 굴절 및 흡수가 동일함을 나타냅니다. 간단히 말해서, 컴퓨터 알고리즘은 센서 데이터를 반전(반전)시켜 화면 위의 그림자와 같이 광원(디스플레이)의 관점에서 이미지를 생성합니다.

연구원들은 수정되지 않은 새로운 17인치 디스플레이를 갖춘 Samsung Galaxy View 2 태블릿을 사용하여 시연을 수행했습니다. 그들은 마네킹의 머리 앞에 태블릿을 배치하고 판지 컷아웃과 실제 사람의 손을 사용하여 제스처를 시뮬레이션했습니다.

이 트릭이 안정적으로 작동하려면 조명이 구체적이어야 합니다. 알고리즘은 센서에서 광원(예: 디스플레이)까지 역방향 경로 추적을 사용한다는 점을 기억하세요. 따라서 연구자들은 읽을 수 있는 이미지를 얻기 위해 화면의 특정 부분을 조명해야 합니다. 이렇게 하면 사용자가 의심할 수 있는 매우 특이한 동작이 발생하므로 수정된 Tom과 Jerry 만화를 사용하여 이 프로세스를 복제하여 올바른 조명 패턴을 얻었습니다.

이 이중 촬영 방식으로 생성된 저해상도 이미지(32x32)는 두 손가락 스크롤이나 세 손가락 핀치 등의 동작을 표시할 만큼 선명합니다. 해상도가 매우 낮기 때문에 이 기술은 태블릿이나 노트북과 같은 대형 디스플레이에서만 사용할 수 있습니다. 휴대폰 화면이 너무 작습니다.

가장 큰 단점은 느린 속도입니다. 센서는 한 번에 하나의 픽셀만 기록할 수 있으므로 32x32 이미지를 생성하려면 1024개의 스캔(초당 5개 미만)이 필요합니다. 실제로 이는 정적 흑백 모드를 사용하여 이미지를 생성하는 데 3.3분이 소요된다는 의미입니다. 수정된 비디오 방식을 사용하면 68분이 소요됩니다.

추가 보너스는 이러한 수준의 부진이 해커에게 매력적인 공격 벡터가 되기에는 너무 "번거롭다"는 것입니다. 이미지를 처리하는 데 3분~1시간이 소요되는데, 이는 너무 비효율적이다. 이 방법은 개념 증명에만 사용할 수 있습니다. 공격자가 이 방법으로 유용한 정보를 충분히 얻으려면 훨씬 더 빠른 센서가 필요합니다.

독립적인 보안 연구원이자 컨설턴트인 Lukasz Olejnik은 IEEESpectrum에 다음과 같이 말했습니다. "단순하고 광범위한 개인 정보 보호 공격을 대규모로 실행하기에는 분 단위의 수집 시간이 너무 번거롭습니다. 그러나 선택된 대상에 대해 표적 조치를 취할 수 있도록 표적 정보 수집을 배제하지 않을 것입니다."

그럼에도 불구하고, 짧은 시간 내에 여러 손 위치를 지속적으로 캡처하는 방법이 없으면 PIN이나 비밀번호와 같은 유용한 정보를 얻는 것이 불가능합니다.