TƏHLÜKƏSİZLİK

Kaspersky Lab ödəniş və informasiya terminalları boşluq aşkar edib

Kaspersky Lab şirkəti ağıllı şəhər-in vətəndaşları xidmətlərlə təmin edən bir çox elementində şəxsi məlumatları ifşa etməyə, istifadəçiləri izləməyə və ya zərərli kod yaymağa imkan verən boşluqların mövcudluğunu aşkar edib. Bu nəticələr müxtəlif ödəniş və informasiya, həmçinin kinoteatr biletlərinin satışı terminallarının, velosiped kirayəsi ödənişlərinin, aeroportlarda sərnişinlərin uçuşlara qeydiyyat terminallarının, dövlət qurumlarının informasiya avtomatlarının təhlili əsasında əldə edilib. Bundan başqa, müəyyən olub ki, hakerlər radar kameralarına asanlıqla keçid əldə edə bilirlər.

Bütün ödəniş və informasiya terminalları ya Windows, ya da Android platformasında çalışır, onların digər rəqəmsal cihazlardan əsas fərqi əməliyyat sistemində istifadəçilərin vərdiş etdikləri funksiyalara keçid verən interaktiv qrafiki “kiosk” rejiminin mövcudluğudur ki, bu da öz növbəsində terminalların istifadəsi imkanlarını məhdudlaşdırır. Bununla yanaşı, hakerlər demək olar ki, bu növ bütün qurğularda mövcud olan boşluq və konfiqurasiya çatışmazlıqları sayəsində əməliyyat sisteminin bütün funksiyalarından istifadə edərək öz məqsədlərini həyata keçirə bilirlər.

Bir çox terminalların interfeysində xarici saytlara keçidlər mövcuddur. Onların köməyilə hakerlə qurğunun əməliyyat sisteminə keçid əldə edir və virtual klaviaturanı işə salır. Bu konfiqurasiya çatışmazlığı zərərli tətbiqlərin ötürülməsinə imkan verir.

Digər bir növ boşluq isə qəbzlərin çapı üçün nəzərdə tutulmuş terminalda aşkar edilib. İstifadəçi bütün sahələri doldurduqdan sonra rekvizitləri daxil edir və “Yarat” düyməsinə basır, terminal müəyyən bir müddət üçün standart çap pəncərəsini açır. Hakerin sadəcə bir neçə saniyəsi olur ki, çap parametrlərini dəyişsin və məlumat bölməsinə keçsin. Burdan isə o, idarəetmə panelinə keçid əldə edir və ekran klaviaturasını aça bilir. Bu, ona zərərli şifrə ötürmək, çap olunmuş fayllar barədə məlumat almaq və administrator şifrəsini öyrənmək imkanını yaradır.

“Bir çox terminallar istifadəçilərin bank kartlarının nömrələri və əlaqə siyahısından mobil nömrələr kimi şəxsi məlumatları emal edir. Bu qurğuların köməyilə “ağıllı şəhər”in digər infrastruktur elementlərinə qoşulmaq mümkündür. Bu, müxtəlif növ hücumlar üçün geniş imkanlar yaradır – adi xuliqanlıqdan terminal sahibinin şəbəkəsinin dağıdılmasınadək. Fərqli xidmətlər əldə etməyi asanlaşdıran gələcəyin qurğuları daha geniş yayılacaq, buna görə də istehsalçılar indidən əmin olmalıdılar ki, məhsullari bizim aşkarladığımız bu konfiqurasiya çatışmazlıqlarından azaddır”, - deyə Kaspesrsky Lab şirkətinin antivirus mütəxəssisi Denis Makruşin bildirib.

Bundan başqa, mütəxəssislər bir neçə radar kamerasını da təhlil ediblər. Aydın olub ki, hakerlər heç bir problem yaşamadan kameralara qoşula və oradakı məlumatlarla manipulyasiya edə bilirlər. “Shodan” axtarış mexanizmi ilə asanlıqla bu qurğuların İP adreslərini tapmaq mümkündür, onlara çıxış üçün isə heç bir şifrə tələb olunmur: video-yayımı və kameraların coğrafi koordinatları kimi əlavə məlumatları istənilən internet istifadəçisi əldə edə bilər. Bununla yanaşı, internetdə açıq şəkildə yerləşdirilmiş alətlər mövcuddur ki, onların köməyilə kameralara nəzarət etmək mümkündür.

“Bir çox şəhərlərdə radar kameraları sadəcə müəyyən hərəkət zolaqlarındakı pozuntuları aşkarlayır və bu funksiyanı asanlıqla söndürmək mümkündür. Bu qurğulardan alınmış məlumatlar bir çox hallarda hüquq-muhafizə orqanları tərəfindən istifadə olunur və bu cür boşluqların mövcudluğu oğurluq və digər cinayətlər törədən insanların xeyrinə işləyə bilər. Buna görə də kameraları ən azından internet üzərindən birbaşa çıxışdan qorumaq çox önəmlidir”, - deyə Kaspesrsky Lab şirkətinin antivirus mütəxəssisi Vladimir Daşenko bildirib.

Ağıllı şəhər-in infrastruktur elementlərindəki boşluqları barədə ətraflı məlumatı bu link vasitəsilə əldə etmək mümkündür.

Məltəm Talıbzadə