Следите за новостями

Цифра дня

138 тыс. цифровых доверенностей оформлено через «Цифровой нотариат» с момента запуска

    Платежные терминалы и камеры регистрации скорости беззащитны перед киберзлоумышленниками

    26 сентября 2016 07:33, Computerworld.kz
    Рубрики: Новости

    Такие выводы были сделаны в компании «Лаборатории Касперского» на основании анализа различных платежных и информационных терминалов, в том числе автоматов по продаже билетов в кино, оплате проката велосипедов, терминалов регистрации пассажиров на рейс в аэропортах и инфоматов в госучреждениях. Кроме того, выяснилось, что злоумышленники легко могут получить доступ к камерам регистрации скорости на дорогах.

    Изученные исследователями терминалы работают на Windows либо на Android, а основное их отличие от других видов цифровых устройств заключается в наличии режима «киоска» — интерактивной графической оболочки, которая перекрывает пользователю доступ к функциям операционной системы, оставляя лишь ограниченный набор возможностей, необходимых для исполнения назначения терминала. Тем не менее злоумышленники могут воспользоваться всеми функциями операционной системы благодаря уязвимостям и недостаткам конфигурации.

    Например, в интерфейсе некоторых терминалов содержатся ссылки на внешние сайты. С их помощью злоумышленники могут получить доступ к операционной системе устройства и запустить виртуальную клавиатуру. Это позволяет осуществить запуск вредоносных приложений.

    Другой тип уязвимости был найден в терминале, предназначенном для печати квитанций. После того как пользователь заполняет все поля, вводит реквизиты и нажимает кнопку «Создать», терминал на некоторое время открывает стандартное окно печати. У злоумышленника есть несколько секунд, чтобы успеть изменить параметры печати и выйти в справочный раздел. Оттуда он может перейти в панель управления и открыть экранную клавиатуру. Это дает ему возможность, например, запустить вредоносный код, получить информацию о распечатанных файлах, узнать пароль администратора на устройстве.

    Как подчеркивают эксперты «Лаборатории», некоторые терминалы обрабатывают личные данные пользователей, в том числе номера банковских карт и мобильных номеров из списка контактов.

    Кроме того, эксперты проанализировали ряд камер регистрации скорости. Выяснилось, что злоумышленники могут без проблем подключиться к ним и манипулировать собранными данными. Для доступа к ним, как оказалось, не нужен никакой пароль: видеопоток и дополнительные данные, например, географические координаты камер, может увидеть любой пользователь Интернета. Кроме того, в открытом доступе в Сети находятся некоторые инструменты, использующиеся для контроля над камерами. Данные с этих устройств используются правоохранительными органами, и наличие подобных уязвимостей может сыграть на руку преступникам, совершающим кражи и другие преступления.

    Исследование проводилось в рамках международной некоммерческой инициативы Securing Smart Cities, запущенной в 2015 году при участии «Лаборатории Касперского» и ряда других ИТ-компаний, а также независимых экспертов по всему миру. Ее цель — решение уже существующих и будущих проблем в области ИТ-безопасности умных городов.