«Лаборатория Касперского» нашла потенциальные уязвимости в терминалах московской сети велопроката

17.11.2014



Терминалы для оплаты аренды велосипедов в системе московского городского велопроката могут иметь потенциальные уязвимости, подвергающие риску конфиденциальность персональных данных пользователей. К такому выводу пришли эксперты «Лаборатории Касперского», изучив программное обеспечение и приложения, установленные на этих терминалах.


Приложение для велосипедных паркоматов, работающих на базе операционной системы семейства Windows, позволяет пользователю зарегистрироваться и получить справочную информацию о местоположении паркомата и других велосипедных парковок. Отображение всего этого, а также баров, кафе и прочих объектов реализовано с помощью виджета компании Google, который разработчики приложения велопаркоматов используют в своем продукте. У пользователя нет возможности свернуть полноэкранное приложение и выйти за его пределы, однако именно в нем и кроется недостаток конфигурации, который позволяет скомпрометировать устройство, — в правом нижнем углу виджета содержатся ссылки «Сообщить об ошибке», «Конфиденциальность» и «Условия использования», нажатие на которые влечет за собой запуск браузера Internet Explorer.


Воспользовавшись возможностью из настроек браузера попасть в раздел со справочной информацией, пользователь может перейти в «Панель Управления» и раздел «Специальные возможности», в котором можно включить экранную клавиатуру. При помощи виртуальной клавиатуры существует возможность активировать системную утилиту «cmd.exe» — командную оболочку Windows, которая запускается с правами администратора — это серьезный просчет в конфигурации системы, открывающий возможность скачивания и совершенно беспрепятственного запуска любого приложения.


Варианты использования таких недостатков конфигурации зависят лишь от фантазии злоумышленника. К примеру, атакующий может извлечь пароль администратора, хранящийся в памяти в открытом виде. Кроме того, можно получить слепок памяти приложения велопарковки. Возможно, из него затем получится извлечь личную информацию его пользователей: ФИО, адрес электронной почты и телефон — подобная база верифицированных адресов и телефонов будет иметь особую ценность на черном рынке киберпреступников. Злоумышленник также может установить кейлоггер, перехватывающий все введенные данные и отправляющий их на удаленный сервер, или реализовать сценарий атаки, результатом которой станет получение еще большего количества персональных данных, добавив поля для ввода дополнительных данных. Наконец, учитывая особенность работы данных устройств в круглосуточном режиме, киберпреступник может использовать паркомат для майнинга криптовалюты или для других целей, требующих постоянного присутствия зараженной рабочей станции в Сети.


«Для того чтобы исключить вредоносную активность на публичных устройствах, разработчикам приложения велопарковки и администраторам терминалов следует запретить возможность открытия внешних ссылок в полноэкранном приложении и не допускать вызова каких-либо элементов интерфейса ОС Windows. Текущий сеанс операционной системы при этом должен быть запущен с ограниченными привилегиями пользователя, а учетные записи на каждом устройстве должны быть уникальными. Что касается пользователей терминалов, мы рекомендуем не вводить полные реквизиты своих платежных карт — к примеру, для осуществления платежа не требуются CVV2/CVC2 коды карточки. Требование их ввода должно настораживать», — делится рекомендациями Денис Макрушин, технологический эксперт «Лаборатории Касперского».


Производитель паркоматов уведомлен обо всех выявленных недостатках конфигурации. Повторно проверенные терминалы в настоящий момент не содержат описанные недостатки. Больше информации можно получить по ссылке: http://securelist.ru/blog/issledovaniya/24361/analiz-zashhishhennosti-ustrojstv-platnoj-veloparkovki.




Источник: Лаборатория Касперского