Платежные терминалы и камеры регистрации скорости беззащитны перед киберзлоумышленниками
Такие выводы были сделаны в компании "Лаборатории Касперского" на основании анализа различных платежных и информационных терминалов, в том числе автоматов по продаже билетов в кино, оплате проката велосипедов, терминалов регистрации пассажиров на рейс в аэропортах и инфоматов в госучреждениях. Кроме того, выяснилось, что злоумышленники легко могут получить доступ к камерам регистрации скорости на дорогах.
Изученные исследователями терминалы работают на Windows либо на Android, а основное их отличие от других видов цифровых устройств заключается в наличии режима "киоска" - интерактивной графической оболочки, которая перекрывает пользователю доступ к функциям операционной системы, оставляя лишь ограниченный набор возможностей, необходимых для исполнения назначения терминала. Тем не менее злоумышленники могут воспользоваться всеми функциями операционной системы благодаря уязвимостям и недостаткам конфигурации.
Например, в интерфейсе некоторых терминалов содержатся ссылки на внешние сайты. С их помощью злоумышленники могут получить доступ к операционной системе устройства и запустить виртуальную клавиатуру. Это позволяет осуществить запуск вредоносных приложений.
Другой тип уязвимости был найден в терминале, предназначенном для печати квитанций. После того как пользователь заполняет все поля, вводит реквизиты и нажимает кнопку "Создать", терминал на некоторое время открывает стандартное окно печати. У злоумышленника есть несколько секунд, чтобы успеть изменить параметры печати и выйти в справочный раздел. Оттуда он может перейти в панель управления и открыть экранную клавиатуру. Это дает ему возможность, например, запустить вредоносный код, получить информацию о распечатанных файлах, узнать пароль администратора на устройстве.
Как подчеркивают эксперты "Лаборатории", некоторые терминалы обрабатывают личные данные пользователей, в том числе номера банковских карт и мобильных номеров из списка контактов.
Кроме того, эксперты проанализировали ряд камер регистрации скорости. Выяснилось, что злоумышленники могут без проблем подключиться к ним и манипулировать собранными данными. Для доступа к ним, как оказалось, не нужен никакой пароль: видеопоток и дополнительные данные, например, географические координаты камер, может увидеть любой пользователь Интернета. Кроме того, в открытом доступе в Сети находятся некоторые инструменты, использующиеся для контроля над камерами. Данные с этих устройств используются правоохранительными органами, и наличие подобных уязвимостей может сыграть на руку преступникам, совершающим кражи и другие преступления.
Исследование проводилось в рамках международной некоммерческой инициативы Securing Smart Cities, запущенной в 2015 году при участии "Лаборатории Касперского" и ряда других ИТ-компаний, а также независимых экспертов по всему миру. Ее цель - решение уже существующих и будущих проблем в области ИТ-безопасности умных городов.