Терминалы для оплаты аренды велосипедов в системе московского городского велопроката содержали недостатки конфигурации, с помощью которых злоумышленники могли получить доступ к персональным данным пользователей.
— Анализ защищенности терминалов для оплаты аренды велосипедов показал, что они недостаточно хорошо защищены – вследствие нескольких ошибок конфигурации злоумышленники могут получить доступ к персональным данным и кошелькам тех людей, которые этими устройствами пользовались, — пояснил Денис Макрушин, технологический эксперт «Лаборатории Касперского».
Приложение для велосипедных паркоматов, работающих на базе операционной системы семейства Windows, позволяет пользователю зарегистрироваться и получить справочную информацию о местоположении паркомата и других велосипедных парковок. Отображение всего этого, а также баров, кафе и прочих объектов реализовано с помощью виджета компании Google, который разработчики приложения велопаркоматов используют в своем продукте.
Согласно сообщению компании, у пользователя нет возможности свернуть полноэкранное приложение и выйти за его пределы, а именно в нем кроется недостаток конфигурации, который позволяет скомпрометировать устройство, — в правом нижнем углу виджета содержатся ссылки «Сообщить об ошибке», «Конфиденциальность» и «Условия использования», нажатие на которые влечет за собой запуск браузера Internet Explorer.
Уязвимость на терминалах для оплаты аренды велосипедов
Воспользовавшись возможностью из настроек браузера попасть в раздел со справочной информацией, пользователь может перейти в «Панель Управления» и раздел «Специальные возможности», в котором можно включить экранную клавиатуру. При помощи виртуальной клавиатуры существует возможность активировать системную утилиту «cmd.exe» — командную оболочку Windows, которая запускается с правами администратора — это открывает для пользователя возможность скачивания и запуска абсолютно любого приложения.
Запуск «cmd.exe» с привилегиями администратора на терминале велопроката
По мнению экспертов «Лаборатории Касперского», злоумышленники как угодно могут использовать такие недостатки конфигурации. Так, киберпреступник может извлечь пароль администратора, хранящийся в памяти в открытом виде, получить слепок памяти приложения велопарковки, из которого затем можно извлечь личную информацию его пользователей: ФИО, адрес электронной почты и телефон для последующей продажи данных на черном рынке.
Злоумышленник также может установить кейлоггер, перехватывающий все введенные данные и отправляющий их на удаленный сервер, или реализовать сценарий атаки, результатом которой станет получение еще большего количества персональных данных, добавив поля для ввода дополнительных данных.
— Для того, чтобы исключить вредоносную активность на публичных устройствах, разработчикам приложения велопарковки и администраторам терминалов следует запретить возможность открытия внешних ссылок в полноэкранном приложении и не допускать вызова каких-либо элементов интерфейса ОС Windows. Текущий сеанс операционной системы при этом должен быть запущен с ограниченными привилегиями пользователя, а учетные записи на каждом устройстве должны быть уникальными, — прокомментировал Денис Макрушин. — Что касается пользователей терминалов, мы рекомендуем не вводить полные реквизиты своих платежных карт — к примеру, для осуществления платежа не требуются CVV2/CVC2 коды карточки. Требование их ввода должно настораживать.
Производитель паркоматов уведомлен обо всех выявленных недостатках конфигурации. Повторно проверенные терминалы в настоящий момент не содержат описанные недостатки, уточнили в «Лаборатории Касперского».
Материал по теме: Анализ защищенности устройств платной велопарковки.
