Automaty na prodej vstupenek do kina, terminály u půjčoven kol, obslužní terminály v samosprávních zařízeních, rezervační a informační terminály na letištích nebo zábavní panely pro pasažéry taxíků mohou mít různou podobu, avšak vnitřek většiny z nich je stejný. Základem každého takového terminálu je Windows nebo Android. Hlavní rozdíl oproti běžným zařízením je speciální kiosk-mode software, který na veřejných terminálech slouží jako uživatelské rozhraní. Tento typ softwaru umožňuje uživateli snadný přístup k určitým funkcím terminálu, přičemž zároveň zamezuje v přístupu k operačnímu systému přístroje včetně spuštění internetového prohlížeče a virtuální klávesnice. Přístup k právě těmto funkcím by útočníkům poskytl řadu možností jak napadnout systém, de facto jako kdyby seděli před běžným počítačem. Výzkum ukázal, že téměř každý veřejný digitální terminál má jednu nebo i více bezpečnostních slabin, které by útočníkům umožnily přístup ke skrytým funkcím operačního systému.

V jednom konkrétním případě obsahovalo uživatelské rozhraní terminálu webový odkaz. Útočníkovi stačilo jej otevřít a spustit prohlížeč. Potom už prostřednictvím běžného „help dialogu“ spustit virtuální klávesnici. V jiném případě, u e-government obslužného terminálu, stačilo stisknout tlačítko „tisk“. Po jeho stisknutí se na několik vteřin objevilo obvyklé dialogové okno, kde by útočníkovi stačilo být dostatečně rychlý a zmáčknout tlačítko „změna nastavení tisku“, které by mu umožnilo vstup do help sekce. Odtud by přes kontrolní panel na obrazovce otevřel klávesnici. V tuto chvíli by již měl veškeré náležitosti (virtuální klávesnici a kurzor), které potřebuje k ovládnutí počítače a zahájení škodlivé aktivity jako například spuštění malwaru, manipulace s tištěnými informacemi nebo získání administračního hesla přístroje.

Další část výzkumu se zaměřila na dopravní kamery ve městech. Prostřednictvím vyhledávače Shodan mohli experti identifikovat řadu IP adres patřících k těmto zařízením, které byly volně dostupné na internetu; kdokoliv by tak mohl sledovat záběry z těchto kamer bez jakéhokoliv hesla. Analytici také zjistili, že některé ovládací nástroje těchto kamer jsou volně přístupné na webu.

„V mnoha městech silniční kamery například sledují pouze jeden pruh dálnice. Jak jsme zjistili, je možné tyto systémy velmi jednoduše vypnout. V případě, že útočník potřebuje vypnout systém v daném úseku a čase, má velmi snadnou práci. Vezmeme-li v úvahu, že tyto kamery se využívají k bezpečnostním a policejním účelům, je snadné si představit, jak mohou být tyto zranitelnosti zneužity ke kriminálním činům jako třeba krádežím aut. Z toho důvodu je velmi důležité udržovat tyto sítě chráněné a mimo přímé internetové napojení,“ říká Vladimir Dashchenko, bezpečnostní expert Kaspersky Lab.

Výzkum je uveřejněn na Securingsmartcities.org – stránce neziskové celosvětové iniciativy, jejímž cílem je řešit stávající a budoucí kyberbezpečnostní problémy moderních měst pomocí spolupráce firem, vlád, médií, dalších neziskovek a jednotlivců po celém světě.