В терминалах московской сети велопроката нашли потенциальные уязвимости
Новости Безопасность
Терминалы для оплаты аренды велосипедов в системе московского городского велопроката могут иметь потенциальные уязвимости, подвергающие риску конфиденциальность персональных данных пользователей. К такому выводу пришли эксперты «Лаборатории Касперского», изучив программное обеспечение и приложения, установленные на этих терминалах.
Приложение для велосипедных паркоматов, работающих на базе операционной системы семейства Windows, позволяет пользователю зарегистрироваться и получить справочную информацию о местоположении паркомата и других велосипедных парковок. Отображение всего этого, а также баров, кафе и прочих объектов реализовано с помощью виджета компании Google, который разработчики приложения велопаркоматов используют в своем продукте. У пользователя нет возможности свернуть полноэкранное приложение и выйти за его пределы, однако именно в нем и кроется недостаток конфигурации, который позволяет скомпрометировать устройство, – в правом нижнем углу виджета содержатся ссылки «Сообщить об ошибке», «Конфиденциальность» и «Условия использования», нажатие на которые влечет за собой запуск браузера Internet Explorer.
Воспользовавшись возможностью из настроек браузера попасть в раздел со справочной информацией, пользователь может перейти в «Панель Управления» и раздел «Специальные возможности», в котором можно включить экранную клавиатуру. При помощи виртуальной клавиатуры существует возможность активировать системную утилиту «cmd.exe» – командную оболочку Windows, которая запускается с правами администратора – это серьезный просчет в конфигурации системы, открывающий возможность скачивания и совершенно беспрепятственного запуска любого приложения.
Варианты использования таких недостатков конфигурации зависят лишь от фантазии злоумышленника. К примеру, атакующий может извлечь пароль администратора, хранящийся в памяти в открытом виде. Кроме того, можно получить слепок памяти приложения велопарковки. Возможно, из него затем получится извлечь личную информацию его пользователей: ФИО, адрес электронной почты и телефон – подобная база верифицированных адресов и телефонов будет иметь особую ценность на черном рынке киберпреступников. Злоумышленник также может установить кейлоггер, перехватывающий все введенные данные и отправляющий их на удаленный сервер, или реализовать сценарий атаки, результатом которой станет получение еще большего количества персональных данных, добавив поля для ввода дополнительных данных. Наконец, учитывая особенность работы данных устройств в круглосуточном режиме, киберпреступник может использовать паркомат для майнинга криптовалюты или для других целей, требующих постоянного присутствия зараженной рабочей станции в Сети.
«Для того чтобы исключить вредоносную активность на публичных устройствах, разработчикам приложения велопарковки и администраторам терминалов следует запретить возможность открытия внешних ссылок в полноэкранном приложении и не допускать вызова каких-либо элементов интерфейса ОС Windows. Текущий сеанс операционной системы при этом должен быть запущен с ограниченными привилегиями пользователя, а учетные записи на каждом устройстве должны быть уникальными. Что касается пользователей терминалов, мы рекомендуем не вводить полные реквизиты своих платежных карт – к примеру, для осуществления платежа не требуются CVV2/CVC2 коды карточки. Требование их ввода должно настораживать», – отмечает технологический эксперт «Лаборатории Касперского» Денис Макрушин.
|
07.04.2019 19:42
Как увидеть скрытых друзей во «ВКонтакте»
Поскольку многие пользователи «ВКонтакте» искренне верят, что существует способ увидеть чужих скрытых друзей, Софтодром решил этот миф опровергнуть
29.11.2017 23:52
Как защитить файл или папку паролем в Windows
Что делать, если вы используете компьютер под управлением Windows и вдруг решили защитить какой-либо файл или папку паролем, чтобы посторонние не могли узнать, что у вас там находится
Ищете, где скачать бесплатные программы?
Скачать бесплатные программы для компьютера на Windows и смартфона на iOS или Android можно на Софтодроме. На данный момент в каталоге Софтодрома представлено более 13 000 бесплатных программ для Windows, iOS, Android и Linux.
|
|
Программы для Windows
Программы для Linux
Приложения для Android
Приложения для iPhone