קראקן חושפת פגיעות בכספומטים ביטקוין 'נפוצים'

מעבדות האבטחה של Kraken, זרוע אבטחת הסייבר של חילופי קריפטו קראקן, זיהה מספר נקודות תורפה ב- General Bytes BATMtwo הנפוץ Bitcoin כספומט. 

"הצוות שלנו מצא שמספר רב של כספומטים מוגדרים עם אותו קוד QR של מנהל מערכת כברירת מחדל, מה שמאפשר לכל אחד עם קוד QR זה לגשת לכספומט ולסכן אותו", כתב צוות Kraken Security Labs ב בלוג חשיפת נקודות התורפה. 

"הצוות שלנו מצא גם חוסר במנגנוני אתחול מאובטחים, כמו גם נקודות תורפה קריטיות במערכת ניהול הכספומט", הוסיף קראקן. 

לגילויים של קראקן יש השלכות חומרה ותוכנה גם למכונות General Bytes. 

הפרטים

לפי Kraken, לכספומט General Bytes BATMtwo יש רק תא בודד אחד המוגן במנעול. 

"עקיפתו מספקת גישה ישירה לחלק הפנימי המלא של המכשיר", אמר קראקן, והוסיף כי תוקף עלול "לסכן את קופסת המזומנים, המחשב המשובץ, מצלמת האינטרנט וקורא טביעות האצבע". 

כשזה מגיע לתוכנה, קראקן גילה ש"חסרו תכונות אבטחה נפוצות רבות". 

על ידי חיבור מקלדת USB ל-BATMtwo, ניתן היה לקבל גישה מלאה לממשק המשתמש. זה, בתיאוריה, יאפשר לתוקפים לעתיד להתקין יישומים, להעתיק קבצים, או אפילו לגרום למכשיר לשלוח מפתחות פרטיים לתוקף. 

שיפור האבטחה

Kraken סיפקה שורה של תרופות הן למשתמשים והן לבעלים או למפעילי כספומטים של ביטקוין. 

אם ברצונך להשתמש בכספומט של ביטקוין, קראקן מייעץ לך להשתמש רק באלו שנמצאות בחנויות שאתה סומך עליהן, ולוודא שיש לו "הגנות היקפיות" כמו מצלמות מעקב. 

עבור הבעלים והמפעילים של כספומטים ביטקוין של General Bytes, Kraken מציע לשנות את קוד הניהול של QR כברירת מחדל, למקם אותו במיקום שבו יש בקרות אבטחה, ולעקוב אחר "השיטות המומלצות" של General Bytes.

מקור: https://decrypt.co/82252/kraken-reveals-vulnerabilities-in-commonly-used-bitcoin-atms