Bitcoin -pankkiautomaatit tarjoavat kätevän ja ystävällisen tavan kuluttajille ostaa kryptovaluuttoja. Tämä helppokäyttöisyys voi joskus tulla turvallisuuden kustannuksella.
Kraken Security Labs on paljastanut useita laitteisto- ja ohjelmistohaavoittuvuuksia yleisesti käytetyssä kryptovaluutta -automaatissa: The General Bytes BATMtwo (GBBATM2). Useita hyökkäysvektoreita löydettiin oletushallinta -QR -koodin, Android -käyttöohjelmiston, pankkiautomaatin hallintajärjestelmän ja jopa koneen laitteistokotelon kautta.
Tiimimme havaitsi, että suurelle määrälle pankkiautomaatteja on määritetty sama oletusarvoinen järjestelmänvalvojan QR -koodi, joten jokainen, jolla on tämä QR -koodi, voi kulkea pankkiautomaatin luo ja vaarantaa sen. Tiimimme havaitsi myös puutteen turvallisista käynnistysmekanismeista sekä kriittisistä haavoittuvuuksista ATM -hallintajärjestelmässä.
Kraken Security Labsilla on kaksi tavoitetta, kun paljastamme salauslaitteiston haavoittuvuuksia: lisätä käyttäjien tietoisuutta mahdollisista suojausvirheistä ja ilmoittaa tuotteen valmistajille, jotta he voivat korjata ongelman. Kraken Security Labs ilmoitti haavoittuvuuksista General Bytesille 20. huhtikuuta 2021, he julkaisivat korjaustiedostoja taustajärjestelmäänsä (CAS) ja varoittivat asiakkaitaan, mutta joidenkin ongelmien täydelliset korjaukset saattavat silti vaatia laitteiston tarkistusta.
Alla olevassa videossa esittelemme lyhyesti, kuinka haitalliset hyökkääjät voivat hyödyntää haavoittuvuuksia General Bytes BATMtwo cryptocurrency ATM: ssä.
Lukemalla eteenpäin Kraken Security Labs hahmottaa näiden tietoturvariskien tarkan luonteen auttaakseen sinua ymmärtämään paremmin, miksi sinun on noudatettava varovaisuutta ennen näiden koneiden käyttöä.
Ennen kuin käytät kryptovaluutta -pankkiautomaattia
- Käytä salausautomaatteja vain paikoissa ja kaupoissa, joihin luotat.
- Varmista, että pankkiautomaatissa on kehäsuojat, kuten valvontakamerat, ja että havaitsematon pääsy pankkiautomaattiin on epätodennäköistä.
Jos omistat tai käytät BATM -laitteita
- Vaihda QR -oletushallintakoodi, jos et tehnyt niin alkuasetusten aikana.
- Päivitä CAS -palvelimesi ja noudata General Bytesin parhaita käytäntöjä.
- Sijoita pankkiautomaatit paikkoihin, joissa on turvavalvontatoimia, kuten valvontakameroita.
Yksi QR-koodi hallitsee niitä kaikkia
Kun omistaja vastaanottaa GBBATM2: n, häntä kehotetaan asettamaan pankkiautomaatti QR-koodilla ”Hallintaavain”, joka on skannattava pankkiautomaatista. QR -koodi, joka sisältää salasanan, on asetettava erikseen kullekin taustajärjestelmän automaatille:
Kuitenkin, kun tarkistimme järjestelmänvalvojan käyttöliittymän takana olevaa koodia, huomasimme, että se sisältää tehdasasetusten oletushallintaavaimen tiivisteen. Ostimme useita käytettyjä pankkiautomaatteja eri lähteistä ja tutkimuksemme paljasti, että jokaisella oli sama oletusavainkokoonpano.
Tämä tarkoittaa, että huomattava osa GBBATM2 -omistajista ei muuttanut järjestelmänvalvojan oletusarvoista QR -koodia. Testaushetkellä hallintoavaimelle ei ollut kalustonhallintaa, joten jokainen QR -koodi on vaihdettava manuaalisesti.
Siksi kuka tahansa voisi ottaa haltuunsa pankkiautomaatin hallintarajapinnan kautta yksinkertaisesti muuttamalla pankkiautomaattien hallintapalvelimen osoitteen.
Laitteisto
Ei lokerointia ja peukaloinnin tunnistusta
GBBATM2: ssa on vain yksi osasto, joka on suojattu yhdellä putkilukolla. Sen ohittaminen tarjoaa suoran pääsyn laitteen kaikkiin sisäosiin. Tämä luo myös merkittävää lisäluottamusta kassan korvaavaan henkilöön, koska heidän on helppo tehdä takaovi laitteeseen.
Laite ei sisällä paikallista tai palvelinpuolen hälytystä, joka varoittaisi muita sisäisistä komponenteista. Tässä vaiheessa mahdollinen hyökkääjä voi vaarantaa kassan, sulautetun tietokoneen, verkkokameran ja sormenjälkilukijan.
ohjelmisto
Riittämätön Android -käyttöjärjestelmän lukitus
BATMtwon Android -käyttöjärjestelmästä puuttuu myös monia yhteisiä suojausominaisuuksia. Huomasimme, että liittämällä BATM -laitteeseen USB -näppäimistön on mahdollista päästä suoraan kaikkiin Android -käyttöliittymiin - kuka tahansa voi asentaa sovelluksia, kopioida tiedostoja tai suorittaa muita haitallisia toimintoja (kuten lähettää yksityisiä avaimia hyökkääjälle). Android tukee ”kioskitilaa”, joka lukitsisi käyttöliittymän yhdeksi sovellukseksi - mikä voisi estää henkilöä käyttämästä muita ohjelmiston alueita, mutta tämä ei ollut käytössä pankkiautomaatissa.
Ei laiteohjelmiston/ohjelmiston vahvistusta
BATMtwo sisältää NXP i.MX6 -pohjaisen sulautetun tietokoneen. Tiimimme havaitsi, että BATMtwo ei käytä suorittimen suojatun käynnistyksen toimintoja ja että se voidaan ohjelmoida uudelleen yksinkertaisesti kytkemällä USB-kaapeli kantolevyn porttiin ja käynnistämällä tietokone samalla, kun pidät painiketta painettuna.
Lisäksi havaitsimme, että laitteen käynnistyslataimen lukitus on avattu: Pelkkä sarjasovittimen kytkeminen laitteen UART -porttiin riittää etuoikeuden saamiseen käynnistyslataimeen.
On huomattava, että monien i.MX6-prosessorien suojattu käynnistysprosessi on haavoittuva hyökkäykseen, mutta uusia prosessoreita, joilla on haavoittuvuus, on markkinoilla (vaikka niiden saatavuus saattaa olla puutteellinen, kun otetaan huomioon maailmanlaajuinen sirupula).
Ei Cross-Site Request -väärennössuojauksia pankkiautomaatin taustaohjelmassa
BATM -pankkiautomaatteja hallitaan käyttämällä "Crypto Application Server" -hallintaohjelmistoa, jota operaattori voi isännöidä tai joka on lisensoitu SaaS -tunnukseksi.
Tiimimme havaitsi, että CAS ei toteuta mitään Sivustojen välinen väärennös suojaukset, jolloin hyökkääjä voi luoda todennettuja pyyntöjä CAS: lle. Vaikka useimmat päätepisteet ovat jonkin verran suojattuja erittäin vaikeasti arvattavilla tunnuksilla, pystyimme tunnistamaan useita CSRF -vektoreita, jotka voivat onnistuneesti vaarantaa CAS: n.
Ole varovainen ja tutki vaihtoehtoja
BATM -kryptovaluutta -automaatit osoittautuvat helpoksi vaihtoehdoksi ihmisille digitaalisen omaisuuden ostamiseen. Näiden koneiden turvallisuus on kuitenkin kyseenalainen, koska niiden laitteistot ja ohjelmistot tunnetaan hyväksi.
Kraken Security Labs suosittelee, että käytät BATMtwo -laitetta vain luotettavassa paikassa.
Tarkista online -turvaoppaamme oppia lisää siitä, miten suojautua salaustapahtumia tehtäessä.
- "
- 7
- pääsy
- toiminta
- lisä-
- admin
- Kaikki
- Salliminen
- android
- Hakemus
- sovellukset
- huhtikuu
- noin
- Varat
- pankkiautomaatti
- saatavuus
- takaoven
- PARAS
- parhaat käytännöt
- lasku
- Bitcoin
- Bitcoin ATM
- hallitus
- Laatikko
- kamerat
- kassa
- koodi
- Yhteinen
- Kuluttajat
- pitoisuus
- Crypto
- Crypto ATM
- cryptocurrencies
- kryptovaluutta
- Asiakkaat
- digitaalinen
- Digitaaliset varat
- Käyttää
- Käyttää hyväkseen
- tehdas
- Ominaisuudet
- sormenjälki
- puutteita
- LAIVASTON
- seurata
- Kuluttajille
- koko
- general
- Global
- Tavoitteet
- Tarvikkeet
- hasis
- Miten
- Miten
- HTTPS
- tunnistaa
- tutkimus
- kysymykset
- IT
- avain
- avaimet
- Kraken
- Labs
- suuri
- OPPIA
- paikallinen
- sijainti
- Lockdown
- Koneet
- Tekeminen
- johto
- markkinat
- Microsoft
- kampanja
- verkossa
- toiminta
- käyttöjärjestelmän
- Muut
- omistaja
- omistajat
- Salasana
- Merkit
- Ihmiset
- yksityinen
- Yksityiset avaimet
- Tuotteet
- suojella
- osto
- QR code
- lukija
- Lukeminen
- turvallisuus
- setti
- asetus
- So
- Tuotteemme
- varastot
- Tukee
- valvonta
- järjestelmä
- Testaus
- aika
- Liiketoimet
- Luottamus
- ui
- paljastaa
- usb
- Käyttäjät
- Video
- haavoittuvuuksia
- alttius
- wikipedia
- youtube