'Slimme’ onderdelen van moderne steden kwetsbaar voor cyberaanvallen

Een groot aantal digitale kiosken en interactieve terminals die in moderne steden gebruikt worden voor verschillende doeleinden - van het betalen voor verschillende diensten tot entertainment -, bevatten beveiligingslekken die persoonlijke gebruikersgegevens openbaar kunnen maken. Daarnaast zijn deze te gebruiken om te spioneren of voor het verspreiden van schadelijke code. Dit blijkt uit een onderzoek dat door experts van Kaspersky Lab is uitgevoerd. Behalve kiosken deden de specialisten ook onderzoek naar in de steden gebruikte snelheidscamera's en hun ondersteunende infrastructuur. Hierdoor ontdekten ze dat kwaadwillende gebruikers gemakkelijk toegang kunnen krijgen tot deze camera's en de verzamelde gegevens kunnen manipuleren.

Kaartjesautomaten in bioscopen, fietsverhuurterminals, servicezuilen in overheidsorganisaties, reservering- en informatiesystemen op luchthavens en infotainmentschermen voor taxipassagiers zien er weliswaar allemaal verschillend uit, maar het inwendige is in de meeste gevallen gelijk. Al deze apparaten zijn ofwel gebaseerd op Windows, of op Android. Het belangrijkste verschil in vergelijking met ‘gewone’ apparaten is de speciale kioskmodus-software die op publieke terminals draait en als gebruikersinterface fungeert. Deze software geeft de gebruiker eenvoudig toegang tot specifieke kenmerken van de terminal. Tegelijkertijd beperkt het de toegang tot andere functies van het besturingssysteem van het apparaat, inclusief het starten van een webbrowser en vervolgens een virtueel toetsenbord. Toegang tot deze functies biedt een aanvaller talrijke mogelijkheden om het systeem te compromitteren, alsof hij achter een pc zit. Het onderzoek toonde aan dat bijna alle digitale openbare kiosken een of meer beveiligingslekken bevatten die aanvallers toegang kunnen geven tot verborgen functies van het besturingssysteem.

In één specifiek geval bevatte de gebruikersinterface van de terminal een weblink. De aanvaller hoefde hier enkel op te klikken om eerst de browser te openen, en vervolgens - via de standaard Helpdialoog - een virtueel toetsenbord. In een ander geval - bij een e-overheid dienstenkiosk - vereiste het scenario dat de gebruiker de "print" knop aanraakte. Hierna bleef het gebruikelijke printdialoogvenster van de browser gedurende enkele seconden geopend, waarna de aanvaller (indien snel genoeg) op de knop 'wijzig' [afdrukparameters] kon drukken om naar de Help-sectie te springen. Van hieruit kon het configuratiescherm worden geopend en het on-screen toetsenbord worden gestart. Hierna zou de hacker beschikken over alle apparaten die nodig zijn om informatie in te voeren (het virtuele toetsenbord en de muisaanwijzer) en kon de computer worden gebruikt voor de eigen kwaadwillige doeleinden, bijvoorbeeld om malware te activeren, informatie te krijgen over afgedrukte bestanden, beslag te leggen op het beheerderswachtwoord van het apparaat, enz. En dit zijn slechts een paar van de zwakke punten die de onderzoekers van Kaspersky Lab ontdekten.

"Sommige door ons onderzochte openbare terminals verwerkten zeer belangrijke gegevens, zoals persoonsgegevens van gebruikers, waaronder creditcardnummers en geverifieerde contacten (bijvoorbeeld mobiele telefoonnummers). Veel van deze terminals zijn met elkaar en met andere netwerken verbonden. Voor een aanvaller kunnen ze een zeer goede basis zijn voor zeer uiteenlopende soorten aanvallen: van eenvoudig vandalisme tot geavanceerde inbreuken op het netwerk van de eigenaar van de terminal. Bovendien zijn wij van van mening dat openbare digitale kiosken in de toekomst steeds vaker zullen worden geïntegreerd in andere slimme stedelijke infrastructuur, aangezien ze handige interactie bieden met meerdere diensten. Voordat dit gebeurt, dienen leveranciers zich ervan te vergewissen dat het onmogelijk is om terminals te compromitteren via de door ons ontdekte zwakke punten", zegt Denis Makrushin, Security Expert bij Kaspersky Lab.

Een ander deel van het onderzoek was gewijd aan snelheidscamera's in steden. Met behulp van de Shodan zoekmachine konden onderzoekers meerdere IP-adressen identificeren die tot dergelijke apparaten behoren en openlijk toegankelijk zijn via het web: er werden geen wachtwoorden voor gebruikt en iedereen zou de beelden van de camera's kunnen zien (en meer). Onderzoekers ontdekten bovendien dat sommige tools die voor de bediening van deze camera’s gebruikt worden voor iedereen beschikbaar zijn via het web.

"In sommige steden volgen snelheidscamera's bepaalde lijnen op de snelweg - een eigenschap die gemakkelijk kan worden uitgeschakeld. Dus als een aanvaller het systeem tijdelijk zou willen afsluiten op een bepaalde locatie, is dat mogelijk. In aanmerking nemend dat deze camera's (kunnen) worden gebruikt voor veiligheids- en wetshandhavingsdoeleinden, is het heel gemakkelijk voor te stellen hoe deze beveiligingslekken kunnen worden misbruikt bij autodiefstallen en andere misdaden. Het is daarom heel belangrijk om dergelijke netwerken ten minste te beschermen tegen directe webtoegang", aldus Vladimir Dashchenko, Security Expert bij Kaspersky Lab.

Het onderzoek en de bijbehorende blog-post zijn beschikbaar op Securelist.com.