13 февраля, AEX.RU – Исследователи Билли Риос (Billy Rios) и Терри Маккоркл (Terry McCorkle) из компании Qualys заявили, что рентгеновские сканеры багажа, используемые в аэропортах, не защищены должным образом и могут быть взломаны. Об этом пишет Lenta.ru со ссылкой на Wired.

 

К выводу об уязвимости сканеров Риос и Маккоркл пришли, изучив сканирующую установку Rapiscan 522B. Они приобрели ее с рук и испытывали несколько месяцев. Система обошлась в триста долларов, поскольку продавец считал ее сломанной.

 

В установке имеется функция Threat Image Projection (TIP, «Проецирование изображения угрозы»). Функция позволяет контролеру накладывать на «сканы» изображения запрещенных предметов, чтобы проверить, заметит ли их оператор.

 

Выяснилось, что получить доступ к консоли контролера, откуда включается TIP, довольно просто. Во-первых, пароли хранятся на компьютере в незашифрованном виде, а во-вторых, экран ввода пароля можно обойти методом внедрения SQL-кода.

 

Войдя в консоль, злоумышленник получает возможность прятать от операторов запрещенные предметы в багаже. Например, можно «закрыть» оружие или взрывчатку картинкой с невинным предметом — носками или рубашкой.

 

Функция TIP, по данным, имеется во всех сканерах, одобренных Управлением транспортной безопасности США (TSA), независимо от их производителя. Она применяется для обучения и проверки операторов.

 

Насколько серьезна угроза, обнаруженная Риосом и Маккорклом, пока неясно. Сканирующие установки в аэропортах не имеют доступа к интернету, что значительно усложняет процесс «взлома» консоли контролера.

 

Кроме того, компания Rapiscan Systems, выпустившая опробованную исследователями установку, заявила, что экран ввода пароля обойти нельзя. Она предположила, что Риос и Маккоркл использовали неправильно настроенный сканер.