Московский велопрокат может быть небезопасен

Терминалы для оплаты аренды велосипедов московского городского велопроката могут иметь потенциальные уязвимости, подвергающие риску конфиденциальность персональных данных пользователей. К такому выводу пришли эксперты «Лаборатории Касперского».

Приложение для велосипедных паркоматов, работающих на базе операционной системы семейства Windows, позволяет пользователю зарегистрироваться и получить справочную информацию о местоположении паркомата и других велосипедных парковок. Отображение этих и других объектов (баров, кафе и т.д.) реализовано с помощью виджета компании Google, который разработчики приложения используют в своем продукте. У пользователя нет возможности свернуть полноэкранное приложение, в чем и кроется недостаток конфигурации. В правом нижнем углу виджета содержатся ссылки «Сообщить об ошибке», «Конфиденциальность» и «Условия использования», нажатие на которые влечет за собой запуск браузера Internet Explorer.

Воспользовавшись возможностью из настроек браузера попасть в раздел со справочной информацией, пользователь может перейти в «Панель Управления» и раздел «Специальные возможности», чтобы включить экранную клавиатуру. С ее помощью можно активировать системную утилиту «cmd.exe» – командную оболочку Windows, которая запускается с правами администратора. Это серьезный просчет в конфигурации системы, открывающий возможность скачивания и беспрепятственного запуска любого приложения.

Варианты использования такой уязвимости зависят лишь от фантазии злоумышленника. Атакующий может извлечь пароль администратора, хранящийся в памяти в открытом виде. Кроме того, можно получить слепок памяти приложения велопарковки, чтобы затем попытаться извлечь личную информацию его пользователей. Злоумышленник также может установить кейлоггер, перехватывающий все введенные данные и отправляющий их на удаленный сервер. Наконец, учитывая особенность работы данных устройств в круглосуточном режиме, киберпреступник может использовать паркомат, например, для майнинга криптовалюты.

«Чтобы исключить вредоносную активность на публичных устройствах, разработчикам приложения велопарковки и администраторам терминалов следует запретить возможность открытия внешних ссылок в полноэкранном приложении и не допускать вызова каких-либо элементов интерфейса ОС Windows. Текущий сеанс операционной системы при этом должен быть запущен с ограниченными привилегиями пользователя, а учетные записи на каждом устройстве должны быть уникальными. Что касается пользователей терминалов, мы рекомендуем не вводить полные реквизиты своих платежных карт – к примеру, для осуществления платежа не требуются CVV2/CVC2 коды карточки. Требование их ввода должно настораживать», – делится рекомендациями Денис Макрушин, технологический эксперт «Лаборатории Касперского».