Специалисты «Лаборатории Касперского» выяснили, что многие элементы умного города, концепция которого включает в себя объединение технологий и решений, призванных обеспечить комфорт и удобство получения услуг и безопасность граждан, содержат уязвимости, которые позволяют раскрыть личные данные, распространять вредоносный код и даже следить за пользователями. Соответствующее исследование опубликовано на сайте компании.
Выводы специалистов были сделаны на основании анализа платежных и информационных терминалов, в том числе автоматов по продаже билетов в кино, оплате проката велосипедов, терминалов регистрации пассажиров на рейс в аэропортах и инфоматов в государственных учреждениях. Кроме того, выяснилось, что злоумышленники легко могут получить доступ к камерам регистрации скорости на дорогах.
Все платежные и информационные терминалы работают на системах Windows или на Android, а основное их отличие от других видов цифровых устройств заключается в наличии режима «киоска» - это интерактивная графическая оболочка, которая перекрывает пользователю доступ к привычным функциям операционной системы, оставляя лишь ограниченный набор возможностей, необходимых для исполнения назначения терминала. Тем не менее, в ряде случаев, злоумышленники могут свободно воспользоваться всеми функциями операционной системы.
Например, в интерфейсе некоторых терминалов содержатся ссылки на внешние сайты. С их помощью злоумышленники способны получить доступ к операционной системе и запустить виртуальную клавиатуру. Именно этот недостаток конфигурации и позволяет осуществить запуск вредоносных приложений.
«Некоторые терминалы обрабатывают личные данные пользователей, в том числе номера банковских карт и мобильных номеров из списка контактов. С помощью многих из этих устройств можно подключиться к другим элементам инфраструктуры умного города. Это открывает широкие возможности для разных видов атак – от простого хулиганства до вторжения в сеть владельца терминала. В будущем устройства, облегчающие получение разных видов услуг, будут еще более распространены, поэтому производителям уже сейчас нужно убедиться, что они не содержат недостатки конфигурации, которые мы обнаружили», – рассказал эксперт «Лаборатории Касперского» Денис Макрушин.
Кроме того, специалисты проанализировали работу камер регистрации скорости. Выяснилось, что злоумышленники могут без проблем подключиться к ним и манипулировать собранными данными. Найти IP-адреса этих устройств легко позволяет поисковый механизм Shodan, а для доступа к ним, как оказалось, не нужен никакой пароль: видеопоток и дополнительные данные, такие как географические координаты камер, может увидеть любой пользователь Интернета. Кроме того, в открытом доступе в Сети находятся некоторые инструменты, использующиеся для контроля над самими камерами.
«В некоторых городах камеры регистрации скорости фиксируют нарушения лишь на определенных полосах движения, и эту функцию можно легко отключить. Данные с этих устройств иногда используются правоохранительными органами, и наличие подобных уязвимостей может сыграть на руку преступникам, совершающим кражи и другие преступления. Вот почему важно защищать камеры по крайней мере от прямого доступа из Интернета», – сказал антивирусный эксперт «Лаборатории Касперского» Владимир Дащенко.
Исследование проводилось в рамках международной некоммерческой инициативы Securing Smart Cities, запущенной в 2015 году при участии «Лаборатории Касперского», IOActive, Bastille, Cloud Security Alliance и ряда других IT-компаний, а также независимых экспертов по всему миру.
