বিটকয়েন এটিএম গ্রাহকদের ক্রিপ্টোকারেন্সি কেনার জন্য একটি সুবিধাজনক এবং বন্ধুত্বপূর্ণ উপায় অফার করে। ব্যবহারের সেই সহজতা কখনও কখনও নিরাপত্তার খরচে আসতে পারে।
ক্র্যাকেন সিকিউরিটি ল্যাবগুলি একটি সাধারণভাবে ব্যবহৃত ক্রিপ্টোকারেন্সি এটিএম-এ একাধিক হার্ডওয়্যার এবং সফ্টওয়্যার দুর্বলতা উন্মোচন করেছে: দ্য জেনারেল বাইটস BATMtwo (GBBATM2)৷ ডিফল্ট অ্যাডমিনিস্ট্রেটিভ কিউআর কোড, অ্যান্ড্রয়েড অপারেটিং সফ্টওয়্যার, এটিএম ম্যানেজমেন্ট সিস্টেম এবং এমনকি মেশিনের হার্ডওয়্যার কেসের মাধ্যমে একাধিক আক্রমণ ভেক্টর পাওয়া গেছে।
আমাদের টিম দেখেছে যে প্রচুর সংখ্যক ATM একই ডিফল্ট অ্যাডমিন QR কোড দিয়ে কনফিগার করা হয়েছে, যার ফলে যে কেউ এই QR কোডটি একটি ATM পর্যন্ত যেতে এবং এটিকে আপস করতে দেয়৷ আমাদের টিম এটিএম ম্যানেজমেন্ট সিস্টেমে নিরাপদ বুট মেকানিজমের অভাবের পাশাপাশি গুরুতর দুর্বলতাও খুঁজে পেয়েছে।
ক্র্যাকেন সিকিউরিটি ল্যাবগুলির দুটি লক্ষ্য থাকে যখন আমরা ক্রিপ্টো হার্ডওয়্যারের দুর্বলতাগুলি উন্মোচন করি: সম্ভাব্য নিরাপত্তা ত্রুটিগুলি সম্পর্কে ব্যবহারকারীদের সচেতনতা তৈরি করা এবং পণ্য নির্মাতাদের সতর্ক করা যাতে তারা সমস্যাটির প্রতিকার করতে পারে৷ ক্রাকেন সিকিউরিটি ল্যাবগুলি 20 এপ্রিল, 2021-এ জেনারেল বাইটসকে দুর্বলতাগুলি রিপোর্ট করেছিল, তারা তাদের ব্যাকএন্ড সিস্টেমে (CAS) প্যাচগুলি প্রকাশ করেছিল এবং তাদের গ্রাহকদের সতর্ক করেছিল, তবে কিছু সমস্যার সম্পূর্ণ সমাধানের জন্য এখনও হার্ডওয়্যার সংশোধনের প্রয়োজন হতে পারে৷
নীচের ভিডিওতে, আমরা সংক্ষিপ্তভাবে প্রদর্শন করেছি কিভাবে দূষিত আক্রমণকারীরা জেনারেল বাইট BATMটু ক্রিপ্টোকারেন্সি এটিএম-এর দুর্বলতাকে কাজে লাগাতে পারে।
পড়ার মাধ্যমে, ক্র্যাকেন সিকিউরিটি ল্যাবগুলি এই নিরাপত্তা ঝুঁকিগুলির সঠিক প্রকৃতির রূপরেখা দেয় যাতে এই মেশিনগুলি ব্যবহার করার আগে আপনাকে কেন সতর্কতা অবলম্বন করা উচিত তা আরও ভালভাবে বুঝতে সাহায্য করে৷
আপনি একটি ক্রিপ্টোকারেন্সি এটিএম ব্যবহার করার আগে
- শুধুমাত্র ক্রিপ্টোকারেন্সি এটিএম ব্যবহার করুন আপনার বিশ্বাসযোগ্য অবস্থান এবং দোকানে।
- নিশ্চিত করুন যে এটিএম-এর ঘের সুরক্ষা রয়েছে, যেমন নজরদারি ক্যামেরা, এবং এটিএম-এ অনাবিষ্কৃত অ্যাক্সেস অসম্ভাব্য।
আপনি যদি BATM এর মালিক হন বা পরিচালনা করেন
- আপনি যদি প্রাথমিক সেটআপের সময় এটি না করেন তবে ডিফল্ট QR অ্যাডমিন কোড পরিবর্তন করুন।
- আপনার CAS সার্ভার আপডেট করুন এবং সাধারণ বাইটের সেরা অনুশীলনগুলি অনুসরণ করুন৷
- নজরদারি ক্যামেরার মতো নিরাপত্তা নিয়ন্ত্রণ সহ অবস্থানগুলিতে ATMগুলি রাখুন৷
তাদের সকলকে শাসন করার জন্য একটি QR কোড
যখন একজন মালিক GBBATM2 পান, তখন তাদেরকে একটি "প্রশাসন কী" QR-কোড সহ ATM সেট আপ করার নির্দেশ দেওয়া হয় যা ATM-এ স্ক্যান করা আবশ্যক। একটি পাসওয়ার্ড সম্বলিত QR কোড অবশ্যই ব্যাকএন্ড সিস্টেমে প্রতিটি ATM-এর জন্য আলাদাভাবে সেট করতে হবে:
যাইহোক, অ্যাডমিন ইন্টারফেসের পিছনের কোডটি পর্যালোচনা করার সময়, আমরা দেখতে পেয়েছি যে এটিতে একটি ডিফল্ট ফ্যাক্টরি সেটিং অ্যাডমিনিস্ট্রেশন কী-এর একটি হ্যাশ রয়েছে৷ আমরা বিভিন্ন উত্স থেকে একাধিক ব্যবহৃত এটিএম কিনেছি এবং আমাদের তদন্তে জানা গেছে যে প্রতিটিতে একই ডিফল্ট কী কনফিগারেশন ছিল।
এটি বোঝায় যে উল্লেখযোগ্য সংখ্যক GBBATM2 মালিক ডিফল্ট অ্যাডমিন QR কোড পরিবর্তন করছেন না। আমাদের পরীক্ষার সময়, অ্যাডমিনিস্ট্রেশন কী-এর জন্য কোনও ফ্লিট ম্যানেজমেন্ট ছিল না, যার অর্থ প্রতিটি QR কোড ম্যানুয়ালি পরিবর্তন করতে হবে।
অতএব, যে কেউ প্রশাসনের ইন্টারফেসের মাধ্যমে এটিএম ম্যানেজমেন্ট সার্ভারের ঠিকানা পরিবর্তন করে এটিএম দখল করতে পারে।
হার্ডওয়্যার
কোন কম্পার্টমেন্টালাইজেশন এবং টেম্পার সনাক্তকরণ
GBBATM2-এ শুধুমাত্র একটি একক বগি রয়েছে যা একটি একক নলাকার লক দ্বারা সুরক্ষিত। এটিকে বাইপাস করা ডিভাইসের সম্পূর্ণ অভ্যন্তরীণগুলিতে সরাসরি অ্যাক্সেস প্রদান করে। এটি সেই ব্যক্তির উপর উল্লেখযোগ্য অতিরিক্ত আস্থা রাখে যে ক্যাশবক্সটি প্রতিস্থাপন করে, কারণ তাদের পক্ষে ডিভাইসটি ব্যাকডোরে করা সহজ।
ডিভাইসটিতে কোনো স্থানীয় বা সার্ভার-সাইড অ্যালার্ম নেই যাতে অন্যদের সতর্ক করা যায় যে অভ্যন্তরীণ উপাদানগুলি উন্মুক্ত হয়েছে৷ এই মুহুর্তে, একজন আক্রমণকারী ক্যাশ বাক্স, এমবেডেড কম্পিউটার, ওয়েবক্যাম এবং ফিঙ্গারপ্রিন্ট রিডারের সাথে আপস করতে পারে।
সফটওয়্যার
Android OS এর অপর্যাপ্ত লকডাউন
BATMtwo-এর অ্যান্ড্রয়েড অপারেটিং সিস্টেমে অনেক সাধারণ নিরাপত্তা বৈশিষ্ট্যেরও অভাব রয়েছে। আমরা খুঁজে পেয়েছি যে BATM-এ একটি USB কীবোর্ড সংযুক্ত করার মাধ্যমে, সম্পূর্ণ Android UI-তে সরাসরি অ্যাক্সেস লাভ করা সম্ভব – যে কাউকে অ্যাপ্লিকেশন ইনস্টল করতে, ফাইলগুলি অনুলিপি করতে বা অন্যান্য ক্ষতিকারক কার্যকলাপ পরিচালনা করতে দেয় (যেমন আক্রমণকারীকে ব্যক্তিগত কী পাঠানো)। অ্যান্ড্রয়েড একটি "কিওস্ক মোড" সমর্থন করে যা UI-কে একটি একক অ্যাপ্লিকেশনে লক করে দেবে — যা একজন ব্যক্তিকে সফ্টওয়্যারের অন্যান্য ক্ষেত্রগুলিতে অ্যাক্সেস করতে বাধা দিতে পারে, তবে এটি এটিএম-এ সক্ষম করা হয়নি৷
কোন ফার্মওয়্যার/সফ্টওয়্যার যাচাইকরণ
BATMtwo-তে একটি NXP i.MX6-ভিত্তিক এমবেডেড কম্পিউটার রয়েছে। আমাদের দল দেখেছে যে BATMtwo প্রসেসরের সুরক্ষিত-বুট কার্যকারিতা ব্যবহার করে না এবং এটিকে কেবল ক্যারিয়ার বোর্ডের একটি পোর্টে একটি USB কেবল প্লাগ করে এবং একটি বোতাম চেপে ধরে কম্পিউটার চালু করার মাধ্যমে পুনরায় প্রোগ্রাম করা যেতে পারে।
উপরন্তু, আমরা দেখতে পেয়েছি যে ডিভাইসের বুটলোডারটি আনলক করা আছে: বুটলোডারে বিশেষ সুবিধাপ্রাপ্ত অ্যাক্সেস পাওয়ার জন্য ডিভাইসের UART পোর্টের সাথে একটি সিরিয়াল অ্যাডাপ্টার সংযোগ করাই যথেষ্ট।
উল্লেখ্য যে, অনেক i.MX6 প্রসেসরের সিকিউর-বুট প্রক্রিয়া জেয় আক্রমণের জন্য, তবে দুর্বলতা প্যাচযুক্ত নতুন প্রসেসর বাজারে রয়েছে (যদিও বিশ্বব্যাপী চিপ-স্বল্পতার কারণে তাদের উপলব্ধতার অভাব হতে পারে)।
এটিএম ব্যাকএন্ডে কোনও ক্রস-সাইট অনুরোধ জালিয়াতি সুরক্ষা নেই৷
BATM ATMগুলি একটি "ক্রিপ্টো অ্যাপ্লিকেশন সার্ভার" ব্যবহার করে পরিচালিত হয় - একটি ব্যবস্থাপনা সফ্টওয়্যার যা অপারেটর দ্বারা হোস্ট করা যেতে পারে, বা SaaS হিসাবে লাইসেন্সপ্রাপ্ত।
আমাদের দল দেখেছে সিএএস কোনো বাস্তবায়ন করে না ক্রস সাইট অনুরোধ জালিয়াতি সুরক্ষা, একটি আক্রমণকারীর পক্ষে সিএএস-এর কাছে প্রমাণীকৃত অনুরোধ তৈরি করা সম্ভব করে তোলে। যদিও বেশিরভাগ এন্ডপয়েন্ট আইডি অনুমান করা খুব কঠিন দ্বারা কিছুটা সুরক্ষিত, আমরা একাধিক CSRF ভেক্টর সনাক্ত করতে সক্ষম হয়েছি যা সফলভাবে CAS এর সাথে আপস করতে পারে।
সতর্কতা ব্যবহার করুন এবং বিকল্পগুলি অন্বেষণ করুন৷
BATM ক্রিপ্টোকারেন্সি এটিএমগুলি ডিজিটাল সম্পদ কেনার জন্য মানুষের জন্য একটি সহজ বিকল্প হিসাবে প্রমাণিত হয়৷ যাইহোক, তাদের হার্ডওয়্যার এবং সফ্টওয়্যার উভয় ক্ষেত্রেই পরিচিত শোষণের কারণে এই মেশিনগুলির নিরাপত্তা প্রশ্নবিদ্ধ রয়েছে।
ক্র্যাকেন সিকিউরিটি ল্যাবস সুপারিশ করে যে আপনি শুধুমাত্র একটি BATMtwo ব্যবহার করুন এমন একটি স্থানে যা আপনি বিশ্বাস করেন।
চেক আউট আমাদের অনলাইন নিরাপত্তা নির্দেশিকা ক্রিপ্টো লেনদেন করার সময় কীভাবে নিজেকে রক্ষা করবেন সে সম্পর্কে আরও জানতে।
- "
- 7
- প্রবেশ
- ক্রিয়াকলাপ
- অতিরিক্ত
- অ্যাডমিন
- সব
- অনুমতি
- অ্যান্ড্রয়েড
- আবেদন
- অ্যাপ্লিকেশন
- এপ্রিল
- কাছাকাছি
- সম্পদ
- এটিএম
- উপস্থিতি
- পিছনের দরজা
- সর্বোত্তম
- সেরা অভ্যাস
- বিল
- Bitcoin
- বিটকয়েন এটিএম
- তক্তা
- বক্স
- ক্যামেরা
- নগদ
- কোড
- সাধারণ
- কনজিউমার্স
- বিষয়বস্তু
- ক্রিপ্টো
- ক্রিপ্টো এটিএম
- ক্রিপ্টোকারেন্সি
- cryptocurrency
- গ্রাহকদের
- ডিজিটাল
- ডিজিটাল সম্পদ
- ব্যায়াম
- কাজে লাগান
- কারখানা
- বৈশিষ্ট্য
- অঙ্গুলাঙ্ক
- সংক্রান্ত ত্রুটিগুলি
- ফ্লিট
- অনুসরণ করা
- ভোক্তাদের জন্য
- সম্পূর্ণ
- সাধারণ
- বিশ্বব্যাপী
- গোল
- হার্ডওয়্যারের
- কাটা
- কিভাবে
- কিভাবে
- HTTPS দ্বারা
- সনাক্ত করা
- তদন্ত
- সমস্যা
- IT
- চাবি
- কী
- ক্রাকেন
- ল্যাবস
- বড়
- শিখতে
- স্থানীয়
- অবস্থান
- তালাবদ্ধ
- মেশিন
- মেকিং
- ব্যবস্থাপনা
- বাজার
- মাইক্রোসফট
- অর্পণ
- অনলাইন
- অপারেটিং
- অপারেটিং সিস্টেম
- অন্যান্য
- মালিক
- মালিকদের
- পাসওয়ার্ড
- প্যাচ
- সম্প্রদায়
- ব্যক্তিগত
- ব্যক্তিগত কী
- পণ্য
- রক্ষা করা
- ক্রয়
- QR কোড
- পাঠক
- পড়া
- নিরাপত্তা
- সেট
- বিন্যাস
- So
- সফটওয়্যার
- দোকান
- সমর্থন
- নজরদারি
- পদ্ধতি
- পরীক্ষামূলক
- সময়
- লেনদেন
- আস্থা
- ui
- উন্মোচন
- ইউএসবি
- ব্যবহারকারী
- ভিডিও
- দুর্বলতা
- দুর্বলতা
- উইকিপিডিয়া
- ইউটিউব