ЛК нашла уязвимости в платежных терминалах и дорожных камерах

ЛК нашла уязвимости в платежных терминалах и дорожных камерах

ЛК нашла уязвимости в платежных терминалах и дорожных камерах

«Лаборатория Касперского» выяснила, что многие элементы умного города, облегчающие гражданам получение услуг, содержат уязвимости, которые позволяют раскрыть личные данные, следить за пользователями или распространять вредоносный код.

Такие выводы были сделаны на основании анализа различных платежных и информационных терминалов, в том числе автоматов по продаже билетов в кино, оплате проката велосипедов, терминалов регистрации пассажиров на рейс в аэропортах и инфоматов в государственных учреждениях. Кроме того, выяснилось, что злоумышленники легко могут получить доступ к камерам регистрации скорости на дорогах.

Все платежные и информационные терминалы работают на Windows либо на Android, а основное их отличие от других видов цифровых устройств заключается в наличии режима «киоска» — интерактивной графической оболочки, которая перекрывает пользователю доступ к привычным функциям операционной системы, оставляя лишь ограниченный набор возможностей, необходимых для исполнения назначения терминала. Тем не менее злоумышленники могут воспользоваться всеми функциями операционной системы благодаря уязвимостям и недостаткам конфигурации, которые имеются почти в любом подобном устройстве, и реализовать с их помощью свои корыстные цели.

Например, в интерфейсе некоторых терминалов содержатся ссылки на внешние сайты. С их помощью злоумышленники могут получить доступ к операционной системе устройства и запустить виртуальную клавиатуру. Этот недостаток конфигурации позволяет осуществить запуск вредоносных приложений.

Другой тип уязвимости был найден в терминале, предназначенном для печати квитанций. После того как пользователь заполняет все поля, вводит реквизиты и нажимает кнопку «Создать», терминал на некоторое время открывает стандартное окно печати. У злоумышленника есть несколько секунд, чтобы успеть изменить параметры печати и выйти в справочный раздел. Оттуда он может перейти в панель управления и открыть экранную клавиатуру. Это дает ему возможность, например, запустить вредоносный код, получить информацию о распечатанных файлах, узнать пароль администратора на устройстве.

«Некоторые терминалы обрабатывают личные данные пользователей, в том числе номера банковских карт и мобильных номеров из списка контактов. С помощью многих из этих устройств можно подключиться к другим элементам инфраструктуры умного города. Это открывает широкие возможности для разных видов атак — от простого хулиганства до вторжения в сеть владельца терминала. В будущем устройства, облегчающие получение разных видов услуг, будут еще более распространены, поэтому производителям уже сейчас нужно убедиться, что они не содержат недостатки конфигурации, которые мы обнаружили», — предупреждает Денис Макрушин, антивирусный эксперт «Лаборатории Касперского».

Кроме того, эксперты проанализировали ряд камер регистрации скорости. Выяснилось, что злоумышленники могут без проблем подключиться к ним и манипулировать собранными данными. Найти IP-адреса этих устройств легко позволяет поисковый механизм Shodan, а для доступа к ним, как оказалось, не нужен никакой пароль: видеопоток и дополнительные данные, например, географические координаты камер, может увидеть любой пользователь Интернета. Кроме того, в открытом доступе в Сети находятся некоторые инструменты, использующиеся для контроля над камерами.

«В некоторых городах камеры регистрации скорости фиксируют нарушения лишь на определенных полосах движения, и эту функцию можно легко отключить. Данные с этих устройств иногда используются правоохранительными органами, и наличие подобных уязвимостей может сыграть на руку преступникам, совершающим кражи и другие преступления. Вот почему важно защищать камеры по крайней мере от прямого доступа из Интернета», — говорит Владимир Дащенко, антивирусный эксперт «Лаборатории Касперского».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Минцифры предлагает предоставлять отсрочки ИТ-специалистам без дипломов

Минцифры предложило расширить перечень ИТ-специалистов, имеющих право на отсрочку от призыва в армию. Нововведения касаются тех, кто окончил обучение, но на момент формирования списков ещё не получил диплом о высшем образовании.

Соответствующий проект опубликован на Портале проектов нормативных актов. К уже действующим критериям планируется добавить два новых:

  • Право на отсрочку получат сотрудники аккредитованных ИТ-компаний, завершившие обучение, но не имеющие диплома на момент формирования списков Минцифры (например, если выпуск состоялся в январе, а диплом будет выдан в феврале). В этом случае документ необходимо будет предоставить в призывную комиссию отдельно;
  • В перечень ИТ-специальностей для получения отсрочки предложено включить дополнительные направления: магистратуру по специальностям «Радиофизика» и «Статистика», бакалавриат по направлению «Ядерная физика и технологии» и ряд других.

«Изменения помогут молодым специалистам без перерыва строить карьеру в ИТ, а также позволят сохранить квалифицированные кадры в отрасли. При этом новые правила не создадут дополнительной нагрузки для бизнеса», — отметили в Минцифры.

Если поправки будут приняты, они вступят в силу с 2026 года и не затронут осенний призыв 2025 года.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru