קספרסקי: מצלמות מהירות פתוחות לשימוש כל דורש

בקצרה: חוקרי מעבדת קספרסקי בחנו רכיבים דיגיטליים שונים בעיר החכמה, וגילו שברוב עמדות המידע אין בעיה להגיע לממשק לתפעול המחשב שבהן, ושבמצלמות מהירות יש חיבורי IP פרוצים שמאפשרים איסוף של המדיה המצולמת והפסקת פעילותן.

עמדות המשמשות להדפסת כרטיסים באולמות קולנוע, עמדות להשכרת אופניים, עמדות מידע בארגונים ממשלתיים, עמדות להזמנת טיסות ומידע בשדות תעופה ומערכות בידור במוניות, יכולות להגיע במגוון צורות, אבל מבפנים כולן דומות – כל עמדה שכזו מבוססת Windows או Android. ההבדל המרכזי בהשוואה למכשירים רגילים הוא תוכנה מיוחדת הפועלת "במצב מסוף" ומשמשת כממשק המשתמש. תוכנה זו מעניקה למשתמש גישה קלה למאפיינים מסוימים של המסוף, ובמקביל מגבילה את הגישה למאפיינים אחרים של מערכת ההפעלה של המכשיר, כולל הפעלת דפדפן ומקלדת וירטואלית. גישה לאפשרויות אלה יכולה לספק לתוקף מספר אפשרויות לפגיעה במערכת, ממש כאילו הוא נמצא מול מחשב אישי. המחקר הראה כי כמעט כל מסופי המידע הציבוריים מכילים לפחות חולשת אבטחה אחת שמאפשרת לתוקף לגשת למאפיינים מוסתרים של מערכת ההפעלה.

במקרה מסוים אחד, ממשק המשתמש של המסוף הכיל קישור לרשת. התוקף רק נדרש ללחוץ עליו כדי להפעיל את הדפדפן – ולאחר מכן דרך ממשק העזרה הרגיל – להפעיל את המקלדת הווירטואלית. במקרה אחר בעמדת שירות ממשלתית דיגיטלית התרחיש  דרש מהמשתמש לגעת בכפתור "הדפס". לאחר מכן, נפתחת למשך מספר שניות תיבת דו שיח רגילה של הדפסה בדפדפן, ואם התוקף לוחץ על כפתור ה-"שינוי" במאפייני ההדפסה מספיק מהר, הוא יגיע לאזור העזרה. משם, הוא יכול לפתוח את לוח הבקרה ולהפעיל מקלדת מסך. כתוצאה מכך, התוקף מקבל את הכלים הנדרשים להזנת מידע – מקלדת וירטואלית וסמן עכבר – והוא יכול להשתמש במחשב למטרותיו, כמו: הפעלת קוד זדוני; קבלת מידע על קבצים שהודפסו; קבלת סיסמא לניהול המכשיר וכו'. אלו הן רק דוגמאות נבחרות מכלל נקודות התורפה שגילו חוקרי מעבדת קספרסקי.