パスワードを忘れた? アカウント作成
13487571 story
バグ

ロシアの国営銀行、ATMでWindowsのシステムにアクセス可能な問題が発見される 28

ストーリー by headless
発見 部門より
ロシア国営の貯蓄銀行(Sberbank)のATMで、Shfitキーを5回連続で押すとWindows XPのシステムにアクセス可能な問題が発見されたそうだ(Softpediaの記事Habrahabrの記事WinFutureの記事動画)。

このATMは操作用のタッチスクリーンやテンキー、オプションボタンに加え、インターネットキオスクのようにQWERTYキーボードを備えている。通常はATM画面がフルスクリーン表示されているためWindowsの機能にアクセスすることはできないのだが、固定キーのキーボードショートカットが無効化されておらず、Shiftキーを5回連続して押すとダイアログボックスが表示される。この状態ではタスクバーが表示されるため、タッチスクリーンからスタートメニューの操作が可能になるようだ。なお、Windows/アプリケーション/Alt/Ctrlの位置にあるキーには印字がなく、無効化されているとみられる。Deleteキーも存在しないようだ。

発見者は問題を報告し、修正したとの回答を得たが、2週間後に試してみると同様の操作が可能なままだったとのことだ。



この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • おうちでどうぞ。

    #意外とクレデンシャル処理モジュールが対策してないので、ポリシーで潰さにゃならん。
    --

    “人生の大半の問題はスルーカで解決できる...

    • by Anonymous Coward on 2017年12月25日 12時28分 (#3335250)

      キオスク端末に侵入堅牢性があるか確認するために良くやる手段

      ・Shift5連打から簡易操作センター(エクスプローラ)を起動して色々アクセス
      ・エクスプローラからデスクトップを表示(ロケーションバーの▼からは、ドライブアクセスが禁止されてても行ける)してショートカット作成(特にPowerShellは起動制限されてない可能性大)
      ・文字入力中にF5押して、仮想キーボード取得
      ・文字入力中にF5押して、タイトルバーのアイコンクリックからヘルプ表示して、インターネットオプションにアクセス
      ・同様にヘルプ表示して、ヘルプ画面右クリックからソース表示してメモ帳起動

      などなど。
      社内でキオスク端末ばらまく時はきをつけよう。

      親コメント
    • by Anonymous Coward

      音とともに「固定機能キーを有効にしますか?」というダイアログが出た@Win10

  • by Anonymous Coward on 2017年12月24日 17時40分 (#3334982)

    ゲームとかやってると特に誤爆しやすい。

    最近はうっかり読み上げ機能を有効にしちゃって無効化するのに難儀した。
    ショートカットキーがWin10以前と以降で変わったらしく、
    ググって出てくるのが間違ってるのが更に厄介だった。

  • by Anonymous Coward on 2017年12月24日 18時03分 (#3334997)

    * まだXPを使ってる
    * シフトキー5回のショートカットを殺してない
    * 「対策済み」と回答されたのにまだできてる

    • by Anonymous Coward on 2017年12月24日 18時21分 (#3335015)

      > * まだXPを使ってる

      ATMならWindows Embedding Standard 2009が2019年までサポートだからそれ以外じゃないかな

      親コメント
      • by Anonymous Coward

        動画見るとWindows XP Professionalってスタートメニューに書いてあるけど、
        あそこの表示ってWindows XP EmbeddedでもWindows XP Professionalになるものなのかな。
        どうも素のXP Pro使ってるように見える。

        # 画像検索掛けてデフォルトスタイルの画像ばっかで旧スタイルにしたときどう表示されるのか分からん……

    • by Anonymous Coward on 2017年12月24日 18時56分 (#3335039)

      ※シフトキー5回のショートカットを殺してない
      Embettedでキオスク的用途なのにデスクトップ向けの設定そのまま使ってるとか。。

      インストーラーにレジストリエディタ等諸々入らない、用途に必要ないAPIも使えないようにとか色々やるのよ。

      ※デスクトップ(テスト環境)を似た設定に合わせるのが面倒

      親コメント
      • by Anonymous Coward on 2017年12月25日 11時01分 (#3335220)

        キオスク端末用のソフトキーボードは、面倒でも有り合わせで無く自分で作れと言われたなぁ。
        融通性も有るけど、この手の仕様を全て網羅してカバーするよりは最終的には手間が掛からないと。

        親コメント
    • by Anonymous Coward

      スタンドアロンやクローズドネットワークの機器ならサポート終了しても使い続けるのはアリなのでは?
      新規ライセンス発効がされなくなるだろうから、機器更新で困るだろうけど

      1990年発売のWindows 3.xも発売から18年ライセンスが発効されていたので [srad.jp]、2001年発売のXPは2019年までは使えるのかな?

    • by Anonymous Coward

      キーボードがそのままつかえるって一般的なの??

      • by Anonymous Coward on 2017年12月25日 6時51分 (#3335170)

        POS機の場合
        POSアプリがそういう挙動をしているだけで
        あの、操作盤は、普通にキーボードとして接続されていますよ。

        少なくとも、キーボード操作で再起動かけたりできました。
        WINDOWSキー+U,Uでやったか、SHUTDOWNコマンド使ったかは忘れました。

        もちろん、鍵ひねらないとできないはずですし
        POSアプリを停止させたあとです。

        #むか〜し出荷設定作業のバイトでいじってきました

        親コメント
      • by Anonymous Coward

        利用者向けという話なら
        キーボードのついたATMは一般的ではないかな

    • ATMメーカーは修正をリリースした。よってメーカーに問い合わせれば対策済みである。
      しかし銀行が自行の全ATMに修正を配信して適用するまでは...

    • by Anonymous Coward

      >* 「対策済み」と回答されたのにまだできてる

      「対策をベンダーに依頼した」ことをもって「対策済み」といっている。
      #実際銀行ができる対策ってこれだけですよねぇ

      タレコミ本文の「修正」だとまたニュアンスが違うけど

  • by Anonymous Coward on 2017年12月24日 18時48分 (#3335036)

    ロシアのATMではソリティアが遊べる!!!!!!って事か

    • by Anonymous Coward

      通信が遅いなどの待ち時間に遊べます、となりませんように。

    • by Anonymous Coward

      この間ハローワークで求人検索端末使っていたら何かのタイミングで
      Windowsのスタートメニューが出てきた。タスクバーは出なかったような。
      何か変なことできるかもとも一瞬思ったけど、見つかったら困りそう
      なのでやめた。タッチペンのみでメニューを消す方法が分からずメニュー
      の外をあちこちつついていたらそのうち消えた。その後何回か試してみた
      けどメニューは出せなかった。

    • by Anonymous Coward

      今回のはOSの脆弱性ではないから関連しないんじゃないかな。

  • by Anonymous Coward on 2017年12月25日 10時41分 (#3335213)

    秋葉原にある、肉の万世の受付カウンター横においてある順番待ち受付けの端末も、ちょっと弄るとIEだのスタートメニューだのが出せちゃう

    • by Anonymous Coward

      待ち時間にソリティアで遊んでいてね

typodupeerror

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

読み込み中...