Интернет – киоски: новая опасность для пользователей сети

Ксения Ренселаева 28 Ноября 2010 - 02:33

...

На днях, в Новой Зеландии прошла очередная конференция Kiwicon, на которой собираются специалисты в области безопасности, а именно «белые хакеры». В одном из сообщений докладчик рассказал об обнаруженных им уязвимостях в интернет – киосках.

Интернет-киоски пользуются огромной популярностью среди населения, ведь с их помощью можно беспрепятственно зайти в Интернет и побродить по его просторам, если при себе нет ноутбука или смартфона. Помимо простого серфинга, при необходимости, можно использовать их для проведения платежей, воспользовавшись услугами интернет - банкинга, зайти на страничку в социальной сети, а так же посетить другие интересующие ресурсы. Доступ к таким устройствам открыт везде: магазины, вокзалы, аэропорты, банки и другие общественные места.

Исследователь и известный хакер Пол Крейг, протестировал пять наиболее популярных моделей киосков, которые работают на базе операционных систем Windows и Linux. Как известно, в целях безопасности, пользователи имеют ограниченные права доступа к операционной системе киоска. Не смотря на это, докладчик продемонстрировал, как легко можно получить полный доступ к командному процессору, загрузить любое программное обеспечение, изменить настройки безопасности и сделать все, что заблагорассудится.

По мнению представителя компании Sophos Пола Даклина, присутствовавшего на конференции, ситуация усложняется тем, что производители нацелены на потребителя, которые помимо серфинга или отправки простых сообщений, хотят просматривать pdf документы, фотографии, смотреть флешвидео - все это создает трудности с обеспечением надлежащей степени безопасности.

Помимо интернет - киосков, г-н Крейг протестировал фото-киоски, которые предназначены для просмотра и распечатки фотографий с USB носителей и телефонов. Данные устройства, установлены, в основном, в магазинах фототехники. Не смотря на то, что опасность заражения через USB порт достаточно велика, эти киоски показали себя менее уязвимыми, чем их интернет - аналоги. Исследователь объяснил это тем, что они имеют ограниченную функциональность и для злоумышленников они менее интересны.

Таким образом, как подчеркнул в своем сообщении г-н Даклин, использование интернет - киосков для посещения ресурсов, где требуется регистрация, крайне рискованно.

Следующая главная новость »

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!

Екатерина Быстрова 08 Июня 2026 - 10:46

Уязвимости программ Ошибки конфигурации программ Домашние пользователи Корпорации

Игровую колонку Creative научили взламывать компьютеры по Bluetooth

Оказывается, опасным USB-устройством может стать даже игровая колонка. Исследователь в области информационной безопасности Расмус Муратс обнаружил, что саундбар Creative Sound Blaster Katana V2X можно взломать по Bluetooth без сопряжения, проводов и какого-либо участия владельца с расстояния до 15 метров.

Проблема оказалась сразу в нескольких архитектурных решениях устройства. Через USB колонка требует аутентификацию перед выполнением команд, а вот через Bluetooth Low Energy те же самые команды принимаются без проверки и даже без процедуры сопряжения.

Фактически любой человек в радиусе действия Bluetooth может получить доступ к управлению устройством и загрузке новой прошивки.

Муратс выяснил, что прошивка саундбара не имеет цифровой подписи. Производитель проверяет лишь контрольную сумму файла, которую исследователь без труда пересчитал после внесения изменений. В результате он смог создать собственную прошивку и установить её на устройство по воздуху.

После перепрошивки колонка начала представляться компьютеру не только как аудиоустройство, но и как USB-клавиатура. При каждом подключении к десктопу она автоматически вводила заранее заданную команду. В демонстрационном варианте устройство печатало безобидное «echo pwned», однако аналогичным образом можно запускать PowerShell-скрипты или выполнять другие команды на компьютере жертвы.

По сути, речь идёт о классической атаке BadUSB, только без необходимости физически подменять устройство. Раньше злоумышленнику нужно было вручить жертве модифицированную флешку или периферию. Теперь достаточно перепрограммировать уже имеющийся у пользователя гаджет через Bluetooth.

Самым неожиданным оказался ответ Creative. По словам исследователя, компания почти два месяца не реагировала на уведомления об уязвимости, а затем заявила, что не считает обнаруженное поведение проблемой безопасности, поскольку оно не представляет киберриска.

Поскольку официальный патч так и не появился, Муратс выпустил собственный инструмент, который отключает опасный Bluetooth-интерфейс в прошивке устройства. Правда, такой способ может нарушить работу мобильного приложения Creative.

Тем временем Bluetooth-модуль саундбара продолжает работать даже в спящем режиме, а штатной возможности полностью отключить его пользователям не предоставили.

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!