Os caixas eletrônicos Bitcoin oferecem uma maneira conveniente e amigável para os consumidores comprarem criptomoedas. Essa facilidade de uso às vezes pode prejudicar a segurança.
O Kraken Security Labs descobriu diversas vulnerabilidades de hardware e software em um caixa eletrônico de criptomoeda comumente usado: o General Bytes BATMtwo (GBBATM2). Vários vetores de ataque foram encontrados através do código QR administrativo padrão, do software operacional Android, do sistema de gerenciamento de ATM e até mesmo do hardware da máquina.
Nossa equipe descobriu que um grande número de caixas eletrônicos estão configurados com o mesmo código QR de administrador padrão, permitindo que qualquer pessoa com esse código QR vá até um caixa eletrônico e o comprometa. Nossa equipe também encontrou falta de mecanismos de inicialização seguros, bem como vulnerabilidades críticas no sistema de gerenciamento de caixas eletrônicos.
O Kraken Security Labs tem dois objetivos quando descobrimos vulnerabilidades de hardware criptográfico: conscientizar os usuários sobre possíveis falhas de segurança e alertar os fabricantes de produtos para que possam solucionar o problema. Kraken Security Labs relatou as vulnerabilidades ao General Bytes em 20 de abril de 2021, eles lançaram patches para seu sistema backend (CAS) e alertaram seus clientes, mas correções completas para alguns dos problemas ainda podem exigir revisões de hardware.
No vídeo abaixo, demonstramos brevemente como invasores mal-intencionados podem explorar vulnerabilidades no caixa eletrônico de criptomoeda General Bytes BATMtwo.
Continuando a leitura, o Kraken Security Labs descreve a natureza exata desses riscos de segurança para ajudá-lo a entender melhor por que você deve ter cuidado antes de usar essas máquinas.
Antes de usar um caixa eletrônico de criptomoeda
- Use caixas eletrônicos de criptomoeda apenas em locais e lojas em que você confia.
- Certifique-se de que o caixa eletrônico tenha proteções perimetrais, como câmeras de vigilância, e que seja improvável o acesso não detectado ao caixa eletrônico.
Se você possui ou opera BATMs
- Altere o código QR de administração padrão caso não tenha feito isso durante a configuração inicial.
- Atualize seu servidor CAS e siga as práticas recomendadas da General Bytes.
- Coloque caixas eletrônicos em locais com controles de segurança, como câmeras de vigilância.
Um código QR para governar todos eles
 100vw, 730px”><figcaption id=)
Basta digitalizar um código QR para assumir o controle de muitos BATMs.Quando um proprietário recebe o GBBATM2, ele é instruído a configurar o ATM com um código QR “Chave de Administração” que deve ser digitalizado no ATM. O código QR contendo uma senha deve ser definido separadamente para cada caixa eletrônico no sistema backend:
No entanto, ao revisar o código por trás da interface administrativa, descobrimos que ele contém um hash de uma chave de administração padrão de fábrica. Compramos vários caixas eletrônicos usados de diferentes fontes e nossa investigação revelou que cada um tinha a mesma configuração de chave padrão.
Isto implica que um número significativo de proprietários de GBBATM2 não estava alterando o código QR do administrador padrão. No momento dos nossos testes, não havia gerenciamento de frota para a chave de administração, o que significa que cada código QR deve ser alterado manualmente.
Portanto, qualquer pessoa poderia assumir o controle do ATM através da interface de administração, simplesmente alterando o endereço do servidor de gerenciamento do ATM.
O Hardware
Sem compartimentação e detecção de adulteração
O GBBATM2 possui apenas um compartimento protegido por uma única trava tubular. Ignorá-lo fornece acesso direto a todos os componentes internos do dispositivo. Isso também deposita uma confiança adicional significativa na pessoa que substitui o caixa, pois é fácil para ela acessar o dispositivo pelos fundos.
O dispositivo não contém alarme local ou do lado do servidor para alertar outras pessoas de que os componentes internos estão expostos. Neste ponto, um possível invasor poderia comprometer o caixa eletrônico, o computador incorporado, a webcam e o leitor de impressão digital.
O software
Bloqueio insuficiente do sistema operacional Android
O sistema operacional Android do BATMtwo também carece de muitos recursos de segurança comuns. Descobrimos que, ao conectar um teclado USB ao BATM, é possível obter acesso direto à interface completa do Android – permitindo que qualquer pessoa instale aplicativos, copie arquivos ou realize outras atividades maliciosas (como enviar chaves privadas ao invasor). O Android suporta um “Modo Quiosque” que bloquearia a UI em um único aplicativo – o que poderia impedir que uma pessoa acessasse outras áreas do software, porém isso não estava habilitado no caixa eletrônico.
Sem verificação de firmware/software
O BATMtwo contém um computador embarcado baseado em NXP i.MX6. Nossa equipe descobriu que o BATMtwo não faz uso da funcionalidade de inicialização segura do processador e que pode ser reprogramado simplesmente conectando um cabo USB a uma porta na placa transportadora e ligando o computador enquanto mantém pressionado um botão.
Além disso, descobrimos que o bootloader do dispositivo está desbloqueado: basta conectar um adaptador serial à porta UART do dispositivo para obter acesso privilegiado ao bootloader.
Deve-se notar que o processo de inicialização segura de muitos processadores i.MX6 é vulnerável a um ataque, no entanto, processadores mais novos com a vulnerabilidade corrigida estão no mercado (embora possam estar sem disponibilidade devido à escassez global de chips).
Nenhuma proteção contra falsificação de solicitação entre sites no back-end do ATM
Os caixas eletrônicos BATM são gerenciados usando um “Crypto Application Server” – um software de gerenciamento que pode ser hospedado pela operadora ou licenciado como SaaS.
Nossa equipe descobriu que o CAS não implementa nenhum Falsificação de solicitação entre sites proteções, possibilitando que um invasor gere solicitações autenticadas ao CAS. Embora a maioria dos endpoints sejam protegidos por IDs muito difíceis de adivinhar, conseguimos identificar vários vetores CSRF que podem comprometer o CAS com sucesso.
Tenha cuidado e explore alternativas
Os caixas eletrônicos de criptomoeda BATM provam ser uma alternativa fácil para as pessoas comprarem ativos digitais. No entanto, a segurança destas máquinas permanece em questão devido a explorações conhecidas tanto no seu hardware como no seu software.
Kraken Security Labs recomenda que você use um BATMtwo apenas em um local de sua confiança.
Dê uma olhada na nosso guia de segurança on-line para saber mais sobre como se proteger ao fazer transações criptográficas.
- "
- 7
- Acesso
- atividades
- Adicional
- admin
- Todos os Produtos
- Permitindo
- andróide
- Aplicação
- aplicações
- Abril
- por aí
- Ativos
- ATM
- disponibilidade
- Porta dos fundos
- MELHOR
- melhores práticas
- Projeto de lei
- Bitcoin
- ATM Bitcoin
- borda
- Caixa
- câmeras
- dinheiro
- código
- comum
- Consumidores
- conteúdo
- cripto
- Cripto ATM
- criptomoedas
- criptomoedas
- Clientes
- digital
- Ativos Digitais
- Exercício
- Explorar
- fábrica
- Funcionalidades
- impressão digital
- falhas
- ANIMARIS
- seguir
- Para os consumidores
- cheio
- Geral
- Global
- Objetivos
- Hardware
- hash
- Como funciona o dobrador de carta de canal
- Como Negociar
- HTTPS
- identificar
- investigação
- questões
- IT
- Chave
- chaves
- Kraken
- Laboratório
- grande
- APRENDER
- local
- localização
- lockdown
- máquinas
- Fazendo
- de grupos
- mercado
- Microsoft
- oferecer
- online
- operando
- sistema operativo
- Outros
- proprietário
- proprietários
- Senha
- Patches
- Pessoas
- privado
- Chaves Privadas
- Produto
- proteger
- compra
- QR code
- Leitor
- Leitura
- segurança
- conjunto
- contexto
- So
- Software
- lojas
- suportes
- vigilância
- .
- ensaio
- tempo
- Transações
- Confiança
- ui
- descobrir
- usb
- usuários
- Vídeo
- vulnerabilidades
- vulnerabilidade
- Wikipedia
- Youtube
