Московские терминалы оплаты велоаренды оказались уязвимыми чтобы хакеров
Терминалы для оплаты аренды велосипедов в системе московского городского велопроката содержали недостатки конфигурации, с через которых злоумышленники могли получить доступ к персональным данным пользователей. Об этом говорится в сообщении «Лаборатории Касперского».
Приложение чтобы велосипедных паркоматов, работающих на базе операционной системы семейства Windows, позволяет пользователю зарегистрироваться и получить справочную информацию о местоположении паркомата и других велосипедных парковок. Отображение всего этого, а также баров, кафе и прочих объектов реализовано с через виджета компании Google, который разработчики приложения велопаркоматов используют в своем продукте.
Согласно сообщению компании, у пользователя нет возможности свернуть полноэкранное приложение и нет за его пределы, а именно в нем кроется неисправность конфигурации, который позволяет скомпрометировать устройство, — в правом нижнем углу виджета содержатся ссылки «Сообщить относительный ошибке», «Конфиденциальность» и «Условия использования», нажатие на которые влечет за собой запуск браузера Internet Explorer.
Воспользовавшись возможностью из настроек браузера попасть в часть со справочной информацией, пользователь может перейти в «Панель Управления» и деление «Специальные возможности», в котором можно включить экранную клавиатуру. При помощи виртуальной клавиатуры существует мочь активировать системную утилиту «cmd.exe» — командную оболочку Windows, которая запускается с правами администратора — это открывает ради пользователя возможность скачивания и запуска абсолютно любого приложения.
По мнению экспертов «Лаборатории Касперского», злоумышленники вдруг угодно могут использовать такие недостатки конфигурации. Так, киберпреступник может извлечь пароль администратора, хранящийся в памяти в открытом виде, получить слепок памяти приложения велопарковки, из которого после можно извлечь личную информацию его пользователей: ФИО, адрес электронной почты и телефон для последующей продажи данных на черном рынке.
Злоумышленник также может установить кейлоггер, перехватывающий всегда введенные данные и отправляющий их для удаленный сервер, или реализовать сценарий атаки, результатом которой станет получение еще большего количества персональных данных, добавив поля чтобы ввода дополнительных данных.
По словам Дениса Макрушина, технологического эксперта «Лаборатории Касперского», ради того, чтобы исключить вредоносную активность на публичных устройствах, разработчикам приложения велопарковки и администраторам терминалов следует запретить возможность открытия внешних ссылок в полноэкранном приложении и не дозволять вызова каких-либо элементов интерфейса ОС Windows. Текущий сеанс операционной системы при этом должен быть запущен с ограниченными привилегиями пользователя, а учетные записи на каждом устройстве должны быть уникальными.
«Что касается пользователей терминалов, мы рекомендуем не вводить полные реквизиты своих платежных карт — к примеру, чтобы осуществления платежа не требуются CVV2/CVC2 коды карточки. Требование их ввода должно настораживать», — отметил Макрушин.
Производитель паркоматов уведомлен обо всех выявленных недостатках конфигурации. Повторно проверенные терминалы в очевидный момент не содержат описанные недостатки, уточнили в «Лаборатории Касперского».
No comments:
Post a Comment