Bitcoin-geldautomaten bieden consumenten een handige en vriendelijke manier om cryptocurrencies te kopen. Dat gebruiksgemak kan soms ten koste gaan van de veiligheid.
Kraken Security Labs heeft meerdere hardware- en softwarekwetsbaarheden ontdekt in een veelgebruikte geldautomaat met cryptocurrency: The General Bytes BATMtwo (GBBATM2). Er werden meerdere aanvalsvectoren gevonden via de standaard administratieve QR-code, de Android-besturingssoftware, het ATM-beheersysteem en zelfs de hardwarebehuizing van de machine.
Ons team ontdekte dat een groot aantal geldautomaten is geconfigureerd met dezelfde standaard QR-code voor beheerders, waardoor iedereen met deze QR-code naar een geldautomaat kan lopen en deze kan compromitteren. Ons team ontdekte ook een gebrek aan veilige opstartmechanismen en kritieke kwetsbaarheden in het ATM-beheersysteem.
Kraken Security Labs heeft twee doelen wanneer we kwetsbaarheden in crypto-hardware ontdekken: gebruikers bewust maken van mogelijke beveiligingsfouten en de productfabrikanten waarschuwen zodat ze het probleem kunnen verhelpen. Kraken Security Labs rapporteerde de kwetsbaarheden aan General Bytes op 20 april 2021, ze brachten patches uit voor hun backend-systeem (CAS) en waarschuwden hun klanten, maar volledige oplossingen voor sommige problemen kunnen nog steeds hardware-revisies vereisen.
In de onderstaande video laten we kort zien hoe kwaadwillende aanvallers kwetsbaarheden in de General Bytes BATMtwo cryptocurrency ATM kunnen misbruiken.
Door verder te lezen, schetst Kraken Security Labs de exacte aard van deze beveiligingsrisico's om u beter te helpen begrijpen waarom u voorzichtig moet zijn voordat u deze machines gebruikt.
Voordat u een geldautomaat met cryptocurrency gebruikt
- Gebruik alleen geldautomaten met cryptocurrency op locaties en winkels die u vertrouwt.
- Zorg ervoor dat de geldautomaat perimeterbeveiliging heeft, zoals bewakingscamera's, en dat onopgemerkte toegang tot de geldautomaat onwaarschijnlijk is.
Als u BATM's bezit of exploiteert
- Wijzig de standaard QR-beheerderscode als u dit niet deed tijdens de eerste installatie.
- Werk uw CAS-server bij en volg de best practices van General Bytes.
- Plaats geldautomaten op locaties met beveiligingscontroles, zoals bewakingscamera's.
Eรฉn QR-code om ze allemaal te regeren
 100vw, 730pxโ><figcaption id=)
Het scannen van een QR-code is voldoende om veel BATM's over te nemen.Wanneer een eigenaar de GBBATM2 ontvangt, wordt deze geรฏnstrueerd om de geldautomaat in te stellen met een QR-code met een โAdministration Keyโ die op de geldautomaat moet worden gescand. De QR-code met een wachtwoord moet voor elke geldautomaat apart worden ingesteld in het backend-systeem:
Bij het bekijken van de code achter de beheerdersinterface, ontdekten we echter dat deze een hash bevat van een standaard fabrieksinstellingsbeheersleutel. We kochten meerdere gebruikte geldautomaten van verschillende bronnen en uit ons onderzoek bleek dat ze allemaal dezelfde standaardsleutelconfiguratie hadden.
Dit houdt in dat een aanzienlijk aantal GBBATM2-eigenaren de standaard QR-code voor beheerders niet hebben gewijzigd. Ten tijde van onze tests was er geen vlootbeheer voor de administratiesleutel, wat betekent dat elke QR-code handmatig moet worden gewijzigd.
Daarom kan iedereen de geldautomaat overnemen via de beheerinterface door simpelweg het adres van de beheerserver van de geldautomaat te wijzigen.
De hardware
Geen compartimentering en sabotagedetectie
De GBBATM2 heeft slechts een enkel compartiment dat wordt beschermd door een enkel buisvormig slot. Het omzeilen ervan biedt directe toegang tot de volledige binnenkant van het apparaat. Dit geeft ook een aanzienlijk extra vertrouwen in de persoon die de kassa vervangt, omdat het voor hen gemakkelijk is om het apparaat achter de deur te houden.
Het apparaat bevat geen lokaal of server-side alarm om anderen te waarschuwen dat de interne componenten zijn blootgesteld. Op dit moment kan een potentiรซle aanvaller de kassa, de ingebouwde computer, de webcam en de vingerafdruklezer in gevaar brengen.
De software
Onvoldoende Lockdown van Android OS
Het Android-besturingssysteem van de BATMtwo mist ook veel algemene beveiligingsfuncties. We ontdekten dat door een USB-toetsenbord aan de BATM te koppelen, directe toegang tot de volledige Android-gebruikersinterface mogelijk is, waardoor iedereen applicaties kan installeren, bestanden kan kopiรซren of andere kwaadaardige activiteiten kan uitvoeren (zoals het verzenden van privรฉsleutels naar de aanvaller). Android ondersteunt een "Kioskmodus" die de gebruikersinterface in een enkele applicatie zou vergrendelen - wat zou kunnen voorkomen dat een persoon toegang krijgt tot andere delen van de software, maar dit was niet ingeschakeld op de geldautomaat.
Geen firmware-/softwareverificatie
De BATMtwo bevat een op NXP i.MX6 gebaseerde embedded computer. Ons team ontdekte dat de BATMtwo geen gebruik maakt van de veilige opstartfunctie van de processor en dat hij eenvoudig kan worden geherprogrammeerd door een USB-kabel in een poort op het draagbord te steken en de computer aan te zetten terwijl u een knop ingedrukt houdt.
Bovendien ontdekten we dat de bootloader van het apparaat ontgrendeld is: gewoon een seriรซle adapter aansluiten op de UART-poort op het apparaat is voldoende om bevoorrechte toegang tot de bootloader te krijgen.
Opgemerkt moet worden dat het veilige opstartproces van veel i.MX6-processors is kwetsbaar op een aanval, maar er zijn nieuwere processors met de kwetsbaarheid gepatcht op de markt (hoewel ze mogelijk niet beschikbaar zijn gezien het wereldwijde chiptekort).
Geen bescherming tegen vervalsing van aanvragen tussen locaties in de ATM-backend
BATM-geldautomaten worden beheerd met behulp van een "Crypto Application Server" - beheersoftware die door de operator kan worden gehost of als SaaS kan worden gelicentieerd.
Ons team ontdekte dat de CAS er geen implementeert Vervalsing van verzoeken op meerdere sites beveiligingen, waardoor een aanvaller geauthenticeerde verzoeken aan de CAS kan genereren. Hoewel de meeste eindpunten enigszins worden beschermd door zeer moeilijk te raden ID's, konden we meerdere CSRF-vectoren identificeren die de CAS met succes kunnen compromitteren.
Wees voorzichtig en onderzoek alternatieven
De BATM-geldautomaten voor cryptocurrency blijken een gemakkelijk alternatief te zijn voor mensen om digitale activa te kopen. De veiligheid van deze machines blijft echter in het geding vanwege bekende exploits in zowel hun hardware als software.
Kraken Security Labs raadt u aan om een โโBATMtwo alleen te gebruiken op een locatie die u vertrouwt.
Check out onze online beveiligingsgids voor meer informatie over hoe u uzelf kunt beschermen bij het maken van cryptotransacties.
- "
- 7
- toegang
- activiteiten
- Extra
- beheerder
- Alles
- Het toestaan
- android
- Aanvraag
- toepassingen
- April
- rond
- Activa
- geldautomaat
- beschikbaarheid
- achterdeur
- BEST
- 'best practices'
- Bill
- Bitcoin
- Bitcoin geldautomaat
- boord
- Box camera's
- camera's
- Contant geld
- code
- Gemeen
- Consumenten
- content
- crypto
- Crypto ATM
- cryptocurrencies
- cryptogeld
- Klanten
- digitaal
- Digitale activa
- Oefening
- Exploiteren
- fabriek
- Voordelen
- vingerafdruk
- gebreken
- VLOOT
- volgen
- Voor consumenten
- vol
- Algemeen
- Globaal
- Doelen
- Hardware
- hachee
- Hoe
- How To
- HTTPS
- identificeren
- onderzoek
- problemen
- IT
- sleutel
- toetsen
- Kraken
- Labs
- Groot
- LEARN
- lokaal
- plaats
- lockdown
- Machines
- maken
- management
- Markt
- Microsoft
- bieden
- online.
- werkzaam
- besturingssysteem
- Overige
- eigenaar
- eigenaren
- Wachtwoord
- Patches
- Mensen
- privaat
- Privรฉsleutels
- Product
- beschermen
- inkomsten
- QR code
- Lezer
- lezing
- veiligheid
- reeks
- het instellen van
- So
- Software
- winkels
- steunen
- toezicht
- system
- Testen
- niet de tijd of
- Transacties
- Trust
- ui
- ontdekken
- usb
- gebruikers
- Video
- kwetsbaarheden
- kwetsbaarheid
- Wikipedia
- youtube
