Elementy współczesnych metropolii są podatne na cyberataki
Terminale umożliwiające zakup biletu w kinie, wypożyczenie roweru, kioski usług e-administracji, systemy rezerwacyjne i informacyjne na lotniskach czy terminale oferujące rozrywkę dla pasażerów w taksówkach miejskich mogą mieć różny wygląd, jednak wewnątrz wszystkie są niemal identyczne. Każdy taki terminal stanowi urządzenie oparte na systemie Windows lub Android. Główna różnica w porównaniu ze zwykłymi urządzeniami tkwi w specjalnym oprogramowaniu, które pełni rolę interfejsu. Oprogramowanie to zapewnia użytkownikowi łatwy dostęp do określonych funkcji, ograniczając jednocześnie widoczność innych funkcji systemu operacyjnego urządzenia, takich jak uruchamianie przeglądarki internetowej czy klawiatury wirtualnej. Dostęp do tych funkcji daje osobie atakującej wiele możliwości modyfikacji systemu, tak jakby znajdowała się przed komputerem. Badanie pokazało, że niemal każdy cyfrowy terminal publiczny zawiera przynajmniej jeden słaby punkt w zabezpieczeniach, który pozwala przestępcom uzyskać dostęp do ukrytych funkcji systemu operacyjnego.
W jednym przypadku interfejs terminala zawierał odnośnik do strony WWW. Potencjalny atakujący musiał jedynie dotknąć go, aby uruchomić przeglądarkę, a następnie - przy użyciu standardowego okna dialogowego Pomoc - aktywować klawiaturę wirtualną. W innym przypadku dotyczącym stanowiska usług e-administracji użytkownik musiał dotknąć przycisku Drukuj. W efekcie standardowe okno dialogowe przeglądarki związane z drukowaniem pozostawało otwarte przez kilka sekund i jeśli atakujący był wystarczająco szybki, mógł dotknąć przycisku Zmień [parametry drukowania], aby przeskoczyć do sekcji Pomoc. Stamtąd możliwe było otworzenie panelu sterowania i uruchomienie klawiatury ekranowej. W ten sposób przestępca mógłby uzyskać wszystko, co potrzebne, do wprowadzenia informacji (klawiatura wirtualna oraz wskaźnik myszy) i wykorzystać komputer do własnych celów, np. do uruchomienia szkodliwego oprogramowania, uzyskania informacji dot. wydrukowanych plików, uzyskania hasła administratora urządzenia itd. A to zaledwie niektóre ze słabych punktów zidentyfikowanych przez badaczy z Kaspersky Lab.
Druga część badania została poświęcona fotoradarom i kamerom monitoringu miejskiego. Przy użyciu wyszukiwarki Shodan badacze zdołali zidentyfikować wiele adresów IP, które należały do takich urządzeń i były dostępne z sieci WWW dla wszystkich: nie zastosowano w nich żadnych haseł i każdy mógł zobaczyć m.in. nagrania z kamer. Badacze odkryli, że niektóre z narzędzi wykorzystywanych do kontrolowania tych kamer są również łatwo dostępne w Sieci.
Dokument został także udostępniony przez Securing Smart Cities - globalną inicjatywę non-profit, której celem jest rozwiązywanie obecnych i przyszłych problemów dotyczących cyberbezpieczeństwa inteligentnych miast poprzez współpracę między firmami, rządami, organizacjami z branży mediów oraz innymi przedsięwzięciami, jak również osobami fizycznymi na całym świecie.
