Investigadores de seguridad han advertido que muchos kioscos inteligentes y terminales interactivas pueden ser comprometidos fácilmente, permitiendo a los atacantes robar las credenciales, los datos de pago e instalar malware.

Kaspersky Lab probó un número de kioscos de información, máquinas de venta de tickets de autoservicio, terminales de información y entretenimiento en los taxis y máquinas de alquiler de bicicletas para comprobar sus defensas cibernéticas.

La firma dijo que estos dispositivos pueden convertirse en blancos populares para los cibercriminales debido que tienen un alto nivel de confianza del usuario (están conectados a Internet y entre sí) y el procesamiento de datos sensibles del usuario, en los cuales se incluyen los detalles financieros.

Alegó que es relativamente fácil para un atacante manipular la terminal para salir del modo "kiosco" y acceder al sistema operativo y todos los datos almacenados en él.

Esto se puede hacer a través de "tab fuzzing" es decir, tocando las esquinas de la pantalla o realizando fuzzing de datos, donde se introduce de forma incorrecta los datos con el fin de abrir una ventana de error del sistema operativo.

Otra técnica para acceder el sistema operativo de la máquina es hacer clic en los enlaces externos que pudieron haber sido accidentalmente dejados por el desarrollador.

En un escenario, los investigadores explicaron cómo podrían hackear un dispositivo de información y entretenimiento de un taxi basado en Android.

"En aquellas terminales que hemos sido capaces de analizar tenían texto oculto en la pantalla principal. Se puede seleccionar mediante herramientas estándar de Android utilizando un menú contextual. Esto lleva a que la opción de búsqueda sea activada en la pantalla principal", explicaron.

"Como resultado, el shell deja de responder, termina y el dispositivo se reiniciará automáticamente. Mientras que el dispositivo se está iniciando, todo lo que tiene que hacer el hacker es salir del menú principal en el momento adecuado y abrir el RootExplorer, un gestor de archivos del sistema operativo Android".

Desde aquí, el hacker puede acceder al sistema operativo del dispositivo e incluso a la cámara a bordo.

Kaspersky Lab recomienda a los desarrolladores de estos terminales asegurarse que su "shell interactivo" no tenga funciones que podrían permitir llamar al menú del sistema operativo y garantizar que la aplicación se ejecute en un entorno limitado.

También recomendó que el sistema operativo debe ser lanzado con privilegios restringidos, lo que garantiza que aplicaciones no puedan ser instaladas. Una única cuenta y contraseña para cada dispositivo asegura que una atacante no pueda acceder a múltiples dispositivos desde una sola máquina.

Un ligero cliente de configuración también podría ayudar a proteger estas máquinas, la empresa añadió.