Kraken Security Labs identifiziert Schwachstellen in häufig verwendeten Bitcoin-Geldautomaten

Bitcoin-Geldautomaten bieten Verbrauchern eine bequeme und freundliche Möglichkeit, Kryptowährungen zu kaufen. Diese Benutzerfreundlichkeit kann manchmal zu Lasten der Sicherheit gehen.

Kraken Security Labs hat mehrere Hardware- und Software-Schwachstellen in einem häufig verwendeten Kryptowährungs-Geldautomaten aufgedeckt: The General Bytes BATMtwo (GBBATM2). Durch den standardmäßigen administrativen QR-Code, die Android-Betriebssystemsoftware, das Geldautomatenverwaltungssystem und sogar das Hardwaregehäuse des Automaten wurden mehrere Angriffsvektoren gefunden.

Unser Team hat festgestellt, dass eine große Anzahl von Geldautomaten mit demselben standardmäßigen Administrator-QR-Code konfiguriert ist, sodass jeder mit diesem QR-Code zu einem Geldautomaten gehen und ihn kompromittieren kann. Unser Team stellte außerdem einen Mangel an sicheren Boot-Mechanismen sowie kritische Schwachstellen im ATM-Managementsystem fest.

Kraken Security Labs verfolgt zwei Ziele, wenn wir Schwachstellen in Krypto-Hardware aufdecken: die Benutzer auf potenzielle Sicherheitslücken aufmerksam zu machen und die Produkthersteller zu benachrichtigen, damit sie das Problem beheben können. Kraken Security Labs meldete die Sicherheitslücken am 20. April 2021 an General Bytes, veröffentlichte Patches für ihr Backend-System (CAS) und warnte ihre Kunden, aber vollständige Fixes für einige der Probleme erfordern möglicherweise noch Hardware-Revisionen.  

Im folgenden Video zeigen wir kurz, wie böswillige Angreifer Schwachstellen im Kryptowährungs-Geldautomaten General Bytes BATMtwo ausnutzen können. 

Wenn Sie weiterlesen, beschreibt Kraken Security Labs die genaue Art dieser Sicherheitsrisiken, damit Sie besser verstehen, warum Sie vor der Verwendung dieser Maschinen Vorsicht walten lassen sollten. 

Bevor Sie einen Geldautomaten mit Kryptowährung verwenden 

1. Verwenden Sie Geldautomaten in Kryptowährung nur an Standorten und in Geschäften, denen Sie vertrauen. 
2. Stellen Sie sicher, dass der Geldautomat über einen Perimeterschutz wie Überwachungskameras verfügt und dass ein unbemerkter Zugriff auf den Geldautomaten unwahrscheinlich ist.

Wenn Sie BATMs besitzen oder betreiben

1. Ändern Sie den standardmäßigen QR-Admin-Code, wenn Sie dies bei der Ersteinrichtung nicht getan haben. 
2. Aktualisieren Sie Ihren CAS-Server und befolgen Sie die Best Practices von General Bytes.
3. Platzieren Sie Geldautomaten an Orten mit Sicherheitskontrollen wie Überwachungskameras.

Ein QR-Code, um sie alle zu beherrschen

Das Scannen eines QR-Codes genügt, um viele BATMs zu übernehmen.

Wenn ein Besitzer den GBBATM2 erhält, wird er angewiesen, den Geldautomaten mit einem QR-Code „Administration Key“ einzurichten, der am Geldautomaten gescannt werden muss. Der QR-Code mit Passwort muss für jeden Geldautomaten im Backend-System separat eingestellt werden:

Bei der Überprüfung des Codes hinter der Admin-Oberfläche stellten wir jedoch fest, dass er einen Hash eines standardmäßigen Werkseinstellungs-Administrationsschlüssels enthält. Wir kauften mehrere gebrauchte Geldautomaten aus verschiedenen Quellen und unsere Untersuchung ergab, dass jeder die gleiche Standardschlüsselkonfiguration hatte.

Dies bedeutet, dass eine beträchtliche Anzahl von GBBATM2-Besitzern den standardmäßigen Administrator-QR-Code nicht geändert haben. Zum Testzeitpunkt gab es noch kein Flottenmanagement für den Administrationsschlüssel, sodass jeder QR-Code manuell geändert werden muss. 

Daher könnte jeder den Geldautomaten über die Verwaltungsschnittstelle übernehmen, indem er einfach die Adresse des Verwaltungsservers des Geldautomaten ändert. 

Die Hardware

Keine Aufteilung und Manipulationserkennung

Der GBBATM2 hat nur ein einziges Fach, das durch ein einziges Rohrschloss geschützt ist. Die Umgehung bietet direkten Zugriff auf das gesamte Innere des Geräts. Dies schafft auch ein erhebliches zusätzliches Vertrauen in die Person, die die Geldkassette ersetzt, da es für sie leicht ist, das Gerät hinter sich zu lassen.

Das Gerät enthält keinen lokalen oder serverseitigen Alarm, um andere zu warnen, dass die internen Komponenten exponiert sind. An diesem Punkt könnte ein potenzieller Angreifer die Kasse, den eingebetteten Computer, die Webcam und den Fingerabdruckleser kompromittieren.

Die Software

Unzureichende Sperrung des Android-Betriebssystems

Auch dem Android-Betriebssystem des BATMtwo fehlen viele gängige Sicherheitsfeatures. Wir haben festgestellt, dass durch das Anschließen einer USB-Tastatur an den BATM ein direkter Zugriff auf die vollständige Android-Benutzeroberfläche möglich ist – jeder kann Anwendungen installieren, Dateien kopieren oder andere böswillige Aktivitäten ausführen (z. B. das Senden privater Schlüssel an den Angreifer). Android unterstützt einen „Kiosk-Modus“, der die Benutzeroberfläche in einer einzigen Anwendung sperren würde – was eine Person daran hindern könnte, auf andere Bereiche der Software zuzugreifen, dies war jedoch am Geldautomaten nicht aktiviert.

Keine Firmware-/Software-Verifizierung

Der BATMtwo enthält einen NXP i.MX6-basierten Embedded Computer. Unser Team stellte fest, dass der BATMtwo die Secure-Boot-Funktionalität des Prozessors nicht nutzt und einfach umprogrammiert werden kann, indem man einfach ein USB-Kabel in einen Anschluss auf der Trägerplatine einsteckt und den Computer bei gedrückter Taste einschaltet.

Außerdem haben wir festgestellt, dass der Bootloader des Geräts entsperrt ist: Das einfache Anschließen eines seriellen Adapters an den UART-Port des Geräts reicht aus, um privilegierten Zugriff auf den Bootloader zu erhalten. 

Es sollte beachtet werden, dass der Secure-Boot-Prozess vieler i.MX6-Prozessoren verletzlich für einen Angriff, jedoch sind neuere Prozessoren mit der gepatchten Schwachstelle auf dem Markt (obwohl sie angesichts der weltweiten Chipknappheit möglicherweise nicht verfügbar sind).

Kein Schutz vor Cross-Site Request Forgery im ATM-Backend

BATM-Geldautomaten werden über einen „Crypto Application Server“ verwaltet – eine Verwaltungssoftware, die vom Betreiber gehostet oder als SaaS lizenziert werden kann.

Unser Team hat festgestellt, dass der CAS keine implementiert Standortübergreifende Anforderungsfälschung Sicherheitsvorkehrungen, die es einem Angreifer ermöglichen, authentifizierte Anfragen an das CAS zu generieren. Während die meisten Endpunkte durch sehr schwer zu erratende IDs etwas geschützt sind, konnten wir mehrere CSRF-Vektoren identifizieren, die das CAS erfolgreich kompromittieren können.

Seien Sie vorsichtig und suchen Sie nach Alternativen

Die BATM-Kryptowährungs-Geldautomaten erweisen sich als einfache Alternative für den Kauf digitaler Vermögenswerte. Die Sicherheit dieser Maschinen bleibt jedoch aufgrund bekannter Exploits sowohl in ihrer Hardware als auch in ihrer Software fraglich. 

Kraken Security Labs empfiehlt, dass Sie ein BATMtwo nur an einem Ort verwenden, dem Sie vertrauen. 

Zur kasse unser Online-Sicherheitsleitfaden um mehr darüber zu erfahren, wie Sie sich bei Kryptotransaktionen schützen können.

Quelle: https://blog.kraken.com/post/11263/kraken-security-labs-identified-vulnerabilities-in-commonly-used-bitcoin-atm/