Securing Smart Cities: Kaspersky Lab researchers have examined a number of e-kiosks and interactive terminals used in modern cities for different purposes - from paying to various services to entertainment. 
In this context, they discovered that many of them have vulnerabilities, which can expose users' private data and be used for eavesdropping or spreading malicious code.
In addition to electronic kiosks, experts have also explored the traffic cameras used in cities, as well as their supporting infrastructure. As a result, they discovered that malicious users could easily access these cameras and manipulate the collected data at will.
Οι σύγχρονες πόλεις είναι πολύπλοκα οικοσυστήματα, τα οποία αποτελούνται από εκατοντάδες διαφορετικές επιμέρους συνιστώσες, συμπεριλαμβανομένων και των ψηφιακών. Αν κι αυτές αποσκοπούν στο να κάνουν τις ζωές των πολιτών πιο εύκολες και ασφαλείς, μπορούν ως ένα βαθμό να αποτελέσουν και απειλές για τα δεδομένα και την ασφάλεια τους, όπως κατέδειξαν τα ευρήματα της researchς που πραγματοποίησαν οι ειδικοί της Kaspersky Lab.
Movie theater ticketing terminals, automated bicycle rental stations, government agency information e-kiosks, airport reservation and information terminals, and taxi passenger information and entertainment systems may look different, but inside, most of them are the same. Each such terminal is essentially a device that works based on either the Windows or the Android platform. The main difference compared to ordinary devices is the special e-kiosk software that runs on the public terminals and acts as a user interface.
This software gives the user easy access to certain features of the terminal, while at the same time restricting access to other features of the device's operating system, including launching an Internet browser or a numeric keypad. Access to these functions offers attackers a wealth of opportunities to compromise the system, as if they were in front of a computer. The research showed that almost all public e-kiosks contain one or more digital security vulnerabilities that would allow an attacker to access hidden features of the operating system.
Σε μια συγκεκριμένη περίπτωση, το interface χρήσης του τερματικού περιείχε ένα web-link. Το μόνο που έπρεπε να κάνει ο εισβολέας ήταν απλώς να πατήσει πάνω σε αυτό, για να εκκινήσει το πρόγραμμα περιήγησης και στη συνέχεια – μέσω του πρότυπου διαλόγου για Βοήθεια – να ξεκινήσει η λειτουργία ενός εικονικού πληκτρολογίου. Σε μια άλλη περίπτωση που αφορούσε ένα e-kiosk εξυπηρέτησης δημόσιας υπηρεσίας, το σενάριο απαιτούσε από το χρήστη να πατήσει το κουμπί “Εκτύπωση”. Μετά από αυτό, για μερικά seconds το παράθυρο διαλόγου εκτύπωσης του συνήθους προγράμματος περιήγησης θα άνοιγε και – αν ήταν αρκετά γρήγορος – ο εισβολέας θα μπορούσε να πατήσει το πλήκτρο «αλλαγή» [στις παραμέτρους εκτύπωσης] και να εισέλθει στο παράθυρο της Βοήθειας. Από εκεί, θα μπορούσε να ανοίξει τον πίνακα ελέγχου και το πληκτρολόγιο στην οθόνη. Έτσι, ο εισβολέας μπορεί να έχει στα χέρια του όλες τις solutions required to enter information (the virtual keyboard and mouse pointer) and to use the computer for its own purposes – e.g. to launch malware, get information from printed files, obtain the device's administrator password, etc. And these are just some of the weaknesses discovered by Kaspersky Lab researchers.
“In some of the public terminals we have investigated, it was processing very important information, such as the user's personal data, including credit card numbers and verified contacts (for example, mobile phone numbers). Many of these terminals are connected to each other, but also to other networks. For an attacker, these can be a very good cover for different types of attacks – from simple hooliganism, to sophisticated intrusion into the terminal owner's network. Furthermore, we believe that in the future public e-kioskwill be integrated with additional "smart" city infrastructures as they are a convenient way of interacting with multiple services. Before this happens, vendors have to make sure that it is impossible to break the terminals through the weaknesses we have discovered, said Denis Makrushin, Security Expert at Kaspersky Lab.
Another comeye της έρευνας αφορούσε στις κάμερες της τροχαίας που βρίσκονται στις πόλεις. Χρησιμοποιώντας τη μηχανή αναζήτησης Shodan, οι ερευνητές κατάφεραν να εντοπίσουν πολλαπλές διευθύνσεις IPad που ανήκουν σε τέτοιες συσκευές και είναι ελεύθερα προσβάσιμες στο Διαδίκτυο. Καθώς δεν υπήρχαν ενεργοί κωδικοί πρόσβασης, ο καθένας ήταν σε θέση να δει το υλικό που ήταν καταγεγραμμένο από τις κάμερες και ακόμη περισσότερα. Οι ερευνητές ανακάλυψαν ότι ορισμένα εργαλεία που χρησιμοποιούνταν για τον έλεγχο αυτών των καμερών ήταν επίσης δημοσίως διαθέσιμα στο Διαδίκτυο.
"In some cities, the traffic cameras' systems monitor some lanes on the motorways - a feature that could easily be deactivated. So if an attacker needs to shut down the system in a particular location for a while, he could easily do it. Considering that these cameras can be used for security and law enforcement purposes, it is really easy to imagine how these vulnerabilities can help in committing criminal activities such as car theft and so on. Therefore, it is very important that these networks remain protected, at least by direct access to the Internet,commented Kaspersky Lab Security Specialist Vladimir Dashchenko.
The full text of the survey, as well as advice on the protection of "Smart Cities" systems, are available on the website Securelist.com.
Research is also available on the Securing Smart Cities (Securingsmartcities.org) website, a global, nonprofit organization, aiming to solve existing and future digital security issues of "smart cities" through business collaboration, governmental organizations, the media, other non-profit initiatives and individuals around the world.
