बिटकॉइन एटीएम उपभोक्ताओं को क्रिप्टोकरेंसी खरीदने का एक सुविधाजनक और मैत्रीपूर्ण तरीका प्रदान करते हैं। उपयोग में आसानी कभी-कभी सुरक्षा की कीमत पर आ सकती है।
क्रैकेन सिक्योरिटी लैब्स ने आमतौर पर इस्तेमाल किए जाने वाले क्रिप्टोक्यूरेंसी एटीएम में कई हार्डवेयर और सॉफ्टवेयर कमजोरियों का खुलासा किया है: जनरल बाइट्स BATMtwo (GBBATM2)। डिफॉल्ट एडमिनिस्ट्रेटिव क्यूआर कोड, एंड्रॉइड ऑपरेटिंग सॉफ्टवेयर, एटीएम मैनेजमेंट सिस्टम और यहां तक कि मशीन के हार्डवेयर केस के जरिए मल्टीपल अटैक वैक्टर पाए गए।
हमारी टीम ने पाया कि बड़ी संख्या में एटीएम एक ही डिफ़ॉल्ट व्यवस्थापक क्यूआर कोड के साथ कॉन्फ़िगर किए गए हैं, जिससे इस क्यूआर कोड वाला कोई भी व्यक्ति एटीएम तक जा सकता है और उससे समझौता कर सकता है। हमारी टीम को सुरक्षित बूट तंत्र की कमी के साथ-साथ एटीएम प्रबंधन प्रणाली में महत्वपूर्ण कमजोरियां भी मिलीं।
जब हम क्रिप्टो हार्डवेयर कमजोरियों को उजागर करते हैं तो क्रैकेन सिक्योरिटी लैब्स के दो लक्ष्य होते हैं: संभावित सुरक्षा खामियों के बारे में उपयोगकर्ताओं के लिए जागरूकता पैदा करना और उत्पाद निर्माताओं को सचेत करना ताकि वे इस मुद्दे का समाधान कर सकें। क्रैकेन सिक्योरिटी लैब्स ने 20 अप्रैल, 2021 को जनरल बाइट्स को कमजोरियों की सूचना दी, उन्होंने अपने बैकएंड सिस्टम (सीएएस) के लिए पैच जारी किए और अपने ग्राहकों को सतर्क किया, लेकिन कुछ मुद्दों के पूर्ण सुधार के लिए अभी भी हार्डवेयर संशोधन की आवश्यकता हो सकती है।
नीचे दिए गए वीडियो में, हम संक्षेप में प्रदर्शित करते हैं कि कैसे दुर्भावनापूर्ण हमलावर जनरल बाइट्स BATMtwo क्रिप्टोक्यूरेंसी एटीएम में कमजोरियों का फायदा उठा सकते हैं।
आगे पढ़कर, क्रैकेन सिक्योरिटी लैब्स इन सुरक्षा जोखिमों की सटीक प्रकृति की रूपरेखा तैयार करती है ताकि आपको यह बेहतर ढंग से समझने में मदद मिल सके कि आपको इन मशीनों का उपयोग करने से पहले सावधानी क्यों बरतनी चाहिए।
क्रिप्टोक्यूरेंसी एटीएम का उपयोग करने से पहले
- क्रिप्टोक्यूरेंसी एटीएम का उपयोग केवल उन स्थानों और स्टोरों में करें जिन पर आप भरोसा करते हैं।
- सुनिश्चित करें कि एटीएम में परिधि सुरक्षा है, जैसे निगरानी कैमरे, और एटीएम तक अनिर्धारित पहुंच की संभावना नहीं है।
यदि आप BATM के मालिक हैं या उसका संचालन करते हैं
- यदि आपने प्रारंभिक सेटअप के दौरान ऐसा नहीं किया तो डिफ़ॉल्ट QR व्यवस्थापक कोड बदलें।
- अपने CAS सर्वर को अपडेट करें और सामान्य बाइट्स की सर्वोत्तम प्रथाओं का पालन करें।
- सुरक्षा नियंत्रण वाले स्थानों पर एटीएम लगाएं, जैसे निगरानी कैमरे।
उन सभी पर शासन करने के लिए एक क्यूआर कोड
जब कोई मालिक GBBATM2 प्राप्त करता है, तो उन्हें निर्देश दिया जाता है कि वे एटीएम को "प्रशासन कुंजी" क्यूआर-कोड के साथ स्थापित करें जिसे एटीएम पर स्कैन किया जाना चाहिए। बैकएंड सिस्टम में प्रत्येक एटीएम के लिए पासवर्ड वाला क्यूआर कोड अलग से सेट किया जाना चाहिए:
हालाँकि, व्यवस्थापक इंटरफ़ेस के पीछे के कोड की समीक्षा करते समय, हमने पाया कि इसमें डिफ़ॉल्ट फ़ैक्टरी सेटिंग व्यवस्थापन कुंजी का हैश है। हमने अलग-अलग स्रोतों से कई इस्तेमाल किए गए एटीएम खरीदे और हमारी जांच से पता चला कि प्रत्येक में एक ही डिफ़ॉल्ट कुंजी कॉन्फ़िगरेशन था।
इसका मतलब है कि बड़ी संख्या में GBBATM2 के मालिक डिफ़ॉल्ट व्यवस्थापक QR कोड नहीं बदल रहे थे। हमारे परीक्षण के समय, प्रशासन कुंजी के लिए कोई बेड़ा प्रबंधन नहीं था, जिसका अर्थ है कि प्रत्येक क्यूआर कोड को मैन्युअल रूप से बदला जाना चाहिए।
इसलिए, कोई भी केवल एटीएम प्रबंधन सर्वर पते को बदलकर प्रशासन इंटरफेस के माध्यम से एटीएम पर कब्जा कर सकता है।
हार्डवेयर
कोई विभाजन और छेड़छाड़ का पता नहीं
GBBATM2 में केवल एक ही कम्पार्टमेंट है जो एकल ट्यूबलर लॉक द्वारा सुरक्षित है। इसे बायपास करने से डिवाइस के पूर्ण इंटर्नल तक सीधी पहुंच मिलती है। यह उस व्यक्ति में भी महत्वपूर्ण अतिरिक्त विश्वास रखता है जो कैशबॉक्स को बदल देता है, क्योंकि उनके लिए डिवाइस के पिछले दरवाजे पर जाना आसान होता है।
डिवाइस में कोई स्थानीय या सर्वर-साइड अलार्म नहीं है जो दूसरों को सचेत करता है कि आंतरिक घटक उजागर हो गए हैं। इस बिंदु पर, एक संभावित हमलावर कैश बॉक्स, एम्बेडेड कंप्यूटर, वेब कैमरा और फिंगरप्रिंट रीडर से समझौता कर सकता है।
सॉफ्टवेयर
Android OS का अपर्याप्त लॉकडाउन
BATMtwo के एंड्रॉइड ऑपरेटिंग सिस्टम में कई सामान्य सुरक्षा सुविधाओं का भी अभाव है। हमने पाया कि BATM में USB कीबोर्ड संलग्न करके, पूर्ण Android UI तक सीधी पहुंच प्राप्त करना संभव है - किसी को भी एप्लिकेशन इंस्टॉल करने, फ़ाइलों की प्रतिलिपि बनाने या अन्य दुर्भावनापूर्ण गतिविधियों (जैसे हमलावर को निजी कुंजी भेजना) करने की अनुमति देना। एंड्रॉइड एक "कियोस्क मोड" का समर्थन करता है जो यूआई को एकल एप्लिकेशन में लॉक कर देगा - जो किसी व्यक्ति को सॉफ़्टवेयर के अन्य क्षेत्रों तक पहुंचने से रोक सकता है, हालांकि यह एटीएम पर सक्षम नहीं था।
कोई फर्मवेयर / सॉफ्टवेयर सत्यापन नहीं
BATMtwo में एक NXP i.MX6-आधारित एम्बेडेड कंप्यूटर है। हमारी टीम ने पाया कि BATMtwo प्रोसेसर की सुरक्षित-बूट कार्यक्षमता का उपयोग नहीं करता है, और इसे केवल एक यूएसबी केबल को कैरियर बोर्ड पर एक पोर्ट में प्लग करके और एक बटन दबाए रखते हुए कंप्यूटर को चालू करके फिर से प्रोग्राम किया जा सकता है।
इसके अलावा, हमने पाया कि डिवाइस का बूटलोडर अनलॉक है: डिवाइस पर यूएआरटी पोर्ट से सीरियल एडेप्टर को कनेक्ट करना बूटलोडर तक विशेषाधिकार प्राप्त करने के लिए पर्याप्त है।
यह ध्यान दिया जाना चाहिए कि बहुत सारे i.MX6 प्रोसेसर की सुरक्षित-बूट प्रक्रिया है कमजोर एक हमले के लिए, हालांकि पैच किए गए भेद्यता वाले नए प्रोसेसर बाजार में हैं (हालांकि वैश्विक चिप-कमी को देखते हुए उनमें उपलब्धता की कमी हो सकती है)।
एटीएम बैकएंड में कोई क्रॉस-साइट अनुरोध जालसाजी सुरक्षा नहीं
BATM एटीएम को "क्रिप्टो एप्लिकेशन सर्वर" का उपयोग करके प्रबंधित किया जाता है - एक प्रबंधन सॉफ्टवेयर जिसे ऑपरेटर द्वारा होस्ट किया जा सकता है, या SaaS के रूप में लाइसेंस प्राप्त किया जा सकता है।
हमारी टीम ने पाया कि CAS कोई लागू नहीं करता है क्रॉस साइट अनुरोध जालसाजी सुरक्षा, एक हमलावर के लिए CAS को प्रमाणित अनुरोध उत्पन्न करना संभव बनाता है। जबकि अधिकांश समापन बिंदु कुछ हद तक आईडी का अनुमान लगाने में बहुत मुश्किल से सुरक्षित हैं, हम ऐसे कई सीएसआरएफ वैक्टर की पहचान करने में सक्षम थे जो सीएएस से सफलतापूर्वक समझौता कर सकते हैं।
सावधानी बरतें और विकल्प तलाशें
BATM क्रिप्टोक्यूरेंसी एटीएम लोगों के लिए डिजिटल संपत्ति खरीदने का एक आसान विकल्प साबित होता है। हालाँकि, इन मशीनों की सुरक्षा उनके हार्डवेयर और सॉफ़्टवेयर दोनों में ज्ञात कारनामों के कारण सवालों के घेरे में है।
Kraken Security Labs अनुशंसा करती है कि आप केवल उसी स्थान पर BATM दो का उपयोग करें जिस पर आप भरोसा करते हैं।
चेक आउट हमारी ऑनलाइन सुरक्षा गाइड क्रिप्टो लेनदेन करते समय अपनी सुरक्षा कैसे करें, इसके बारे में अधिक जानने के लिए।
- "
- 7
- पहुँच
- गतिविधियों
- अतिरिक्त
- व्यवस्थापक
- सब
- की अनुमति दे
- एंड्रॉयड
- आवेदन
- अनुप्रयोगों
- अप्रैल
- चारों ओर
- संपत्ति
- एटीएम
- उपलब्धता
- पिछले दरवाजे
- BEST
- सर्वोत्तम प्रथाओं
- बिल
- Bitcoin
- Bitcoin एटीएम
- मंडल
- मुक्केबाज़ी
- कैमरों
- रोकड़
- कोड
- सामान्य
- उपभोक्ताओं
- सामग्री
- क्रिप्टो
- क्रिप्टो एटीएम
- cryptocurrencies
- cryptocurrency
- ग्राहक
- डिजिटल
- डिजिटल आस्तियां
- व्यायाम
- शोषण करना
- कारखाना
- विशेषताएं
- अंगुली की छाप
- खामियां
- बेड़ा
- का पालन करें
- उपभोक्ताओं के लिए
- पूर्ण
- सामान्य जानकारी
- वैश्विक
- लक्ष्यों
- हार्डवेयर
- हैश
- कैसे
- How To
- HTTPS
- पहचान करना
- जांच
- मुद्दों
- IT
- कुंजी
- Instagram पर
- कथानुगत राक्षस
- लैब्स
- बड़ा
- जानें
- स्थानीय
- स्थान
- लॉकडाउन
- मशीनें
- निर्माण
- प्रबंध
- बाजार
- माइक्रोसॉफ्ट
- प्रस्ताव
- ऑनलाइन
- परिचालन
- ऑपरेटिंग सिस्टम
- अन्य
- मालिक
- मालिकों
- पासवर्ड
- पैच
- स्टाफ़
- निजी
- निजी कुंजी
- एस्ट्रो मॉल
- रक्षा करना
- क्रय
- QR कोड
- पाठक
- पढ़ना
- सुरक्षा
- सेट
- की स्थापना
- So
- सॉफ्टवेयर
- भंडार
- समर्थन करता है
- निगरानी
- प्रणाली
- परीक्षण
- पहर
- लेनदेन
- ट्रस्ट
- ui
- उजागर
- USB के
- उपयोगकर्ताओं
- वीडियो
- कमजोरियों
- भेद्यता
- विकिपीडिया
- यूट्यूब