Терминалы для оплаты аренды велосипедов в системе московского городского велопроката могут иметь потенциальные уязвимости, подвергающие риску конфиденциальность персональных данных пользователей, такой вывод сделали эксперты «Лаборатории Касперского».
Приложение для велосипедных паркоматов, работающих на базе Windows, позволяет пользователю зарегистрироваться и получить справочную информацию о местоположении паркомата и других велосипедных парковок. Отображение всего этого реализовано с помощью виджета компании Google, который разработчики приложения велопаркоматов используют в своем продукте. У пользователя нет возможности свернуть полноэкранное приложение и выйти за его пределы, однако именно в нем и кроется недостаток конфигурации, который позволяет скомпрометировать устройство, — в правом нижнем углу виджета содержатся ссылки, нажатие на которые влечет за собой запуск браузера Internet Explorer. Воспользовавшись возможностью из настроек браузера попасть в раздел со справочной информацией, пользователь может включить экранную клавиатуру. С ее помощью возможно активировать системную утилиту «cmd.exe» — командную оболочку Windows, которая запускается с правами администратора – серьезный просчет в конфигурации системы, открывающий возможность скачивания и совершенно беспрепятственного запуска любого приложения.
Варианты использования таких недостатков конфигурации злоумышленником огромны. К примеру, атакующий может извлечь пароль администратора, хранящийся в памяти в открытом виде. Можно получить слепок памяти приложения велопарковки, установить кейлоггер, перехватывающий все введенные данные и отправляющий их на удаленный сервер, или реализовать сценарий атаки, результатом которой станет получение еще большего количества персональных данных, добавив поля для ввода дополнительных данных. Наконец, учитывая особенность работы данных устройств в круглосуточном режиме, киберпреступник может использовать паркомат для майнинга криптовалюты или для других целей, требующих постоянного присутствия зараженной рабочей станции в Сети.
Для того чтобы исключить вредоносную активность на публичных устройствах, пользователям терминалов, рекомендуется не вводить полные реквизиты своих платежных карт — для осуществления платежа не требуются CVV2/CVC2 коды карточки. Требование их ввода должно настораживать.
Производитель паркоматов был уведомлен обо всех выявленных недостатках конфигурации. Повторно проверенные терминалы в настоящий момент не содержат описанные недостатки.