Windows на платежном терминале — к убыткам

Специалисты по компьютерной безопасности исследовали платежные терминалы московского городского велопроката и обнаружили забавную уязвимость, позволяющую получить административный доступ к терминалу и всем пользовательским данным, включая номера кредитных карт.

Платежный терминал — так называемый паркомат — является по совместительству и информационным киоском, через который можно посмотреть карту пунктов велопроката на карте Google Maps.

Специалист, проводящий аудит безопасности, загрузил карту и увидел в самом низу ссылку, которая сразу привлекла его внимание — «Условия использования». При нажатии на эту ссылку был запущен браузер Internet Explorer. Одной из особенностей этого печально известного браузера является возможность перейти в панель управления прямо из настроек браузера. Далее специалист из панели управления перешел в раздел «Специальные возможности» и вызвал экранную клавиатуру. С помощью нее аудитор вызвал командный интерпретатор cmd.exe. К большому удивлению, интерпретатор запустился с правами администратора.

Наверное, не стоит объяснять, какие возможности для обогащения открывает для киберпреступников этот способ легко и быстро получить администраторские полномочия на платежном терминале.

Производитель паркоматов о проблеме уведомлен и в ближайшее время ожидается выпуск заплатки.