Биткойн-банкоматы предлагают потребителям удобный и удобный способ покупки криптовалюты. Такая простота использования иногда достигается за счет безопасности.
Kraken Security Labs выявила несколько аппаратных и программных уязвимостей в широко используемом банкомате с криптовалютой: The General Bytes BATMtwo (GBBATM2). Множественные векторы атак были обнаружены через административный QR-код по умолчанию, операционное программное обеспечение Android, систему управления банкоматом и даже аппаратный корпус машины.
Наша команда обнаружила, что большое количество банкоматов настроено с одним и тем же QR-кодом администратора по умолчанию, что позволяет любому, у кого есть этот QR-код, подойти к банкомату и взломать его. Наша команда также обнаружила отсутствие механизмов безопасной загрузки, а также критические уязвимости в системе управления банкоматом.
При обнаружении уязвимостей криптографического оборудования Kraken Security Labs преследует две цели: информировать пользователей о потенциальных недостатках безопасности и предупреждать производителей продуктов, чтобы они могли исправить проблему. Kraken Security Labs сообщили об уязвимостях в General Bytes 20 апреля 2021 года, они выпустили исправления для своей серверной системы (CAS) и предупредили своих клиентов, но для полного исправления некоторых проблем может потребоваться пересмотр оборудования.
В видео ниже мы кратко демонстрируем, как злоумышленники могут использовать уязвимости в криптовалютном банкомате General Bytes BATMtwo.
Продолжая читать, Kraken Security Labs описывает точную природу этих угроз безопасности, чтобы помочь вам лучше понять, почему вам следует проявлять осторожность перед использованием этих машин.
Прежде чем использовать банкомат с криптовалютой
- Используйте банкоматы с криптовалютой только в местах и магазинах, которым вы доверяете.
- Убедитесь, что банкомат имеет средства защиты периметра, например камеры наблюдения, и что необнаруженный доступ к банкомату маловероятен.
Если вы владеете или эксплуатируете БАТМ
- Измените QR-код администратора по умолчанию, если вы не сделали этого во время начальной настройки.
- Обновите свой сервер CAS и следуйте рекомендациям General Bytes.
- Размещайте банкоматы в местах, где есть средства контроля безопасности, например камеры наблюдения.
Один QR-код, чтобы управлять ими всеми
 100vw, 730px”><figcaption id=)
Сканирование QR-кода - это все, что нужно, чтобы захватить множество BATM.Когда владелец получает GBBATM2, он получает указание установить банкомат с помощью QR-кода «Ключ администрирования», который необходимо отсканировать на банкомате. QR-код, содержащий пароль, необходимо устанавливать отдельно для каждого банкомата в бэкэнд-системе:
Однако при просмотре кода интерфейса администратора мы обнаружили, что он содержит хэш ключа администрирования заводских настроек по умолчанию. Мы приобрели несколько бывших в употреблении банкоматов из разных источников, и наше расследование показало, что каждый из них имеет одинаковую конфигурацию ключей по умолчанию.
Это означает, что значительное количество владельцев GBBATM2 не меняли QR-код администратора по умолчанию. Во время нашего тестирования не было управления парком для ключа администрирования, то есть каждый QR-код нужно было менять вручную.
Таким образом, любой может взять под контроль банкомат через административный интерфейс, просто изменив адрес сервера управления банкоматом.
Аппаратное обеспечение
Отсутствие разделения и обнаружения несанкционированного доступа
GBBATM2 имеет только один отсек, который защищен одним трубчатым замком. Его обход обеспечивает прямой доступ ко всем внутренним компонентам устройства. Это также дает значительное дополнительное доверие человеку, который заменяет кассовый ящик, поскольку им легко взломать устройство.
Устройство не содержит локальной или серверной сигнализации, предупреждающей других о том, что внутренние компоненты открыты. На этом этапе потенциальный злоумышленник может взломать кассу, встроенный компьютер, веб-камеру и сканер отпечатков пальцев.
Программное обеспечение
Недостаточная блокировка ОС Android
В операционной системе Android BATMtwo также отсутствуют многие общие функции безопасности. Мы обнаружили, что, подключив USB-клавиатуру к BATM, можно получить прямой доступ к полному пользовательскому интерфейсу Android, что позволяет любому устанавливать приложения, копировать файлы или выполнять другие вредоносные действия (например, отправлять злоумышленнику закрытые ключи). Android поддерживает «режим киоска», который блокирует пользовательский интерфейс в одном приложении, что может помешать человеку получить доступ к другим областям программного обеспечения, однако он не был включен на банкомате.
Нет проверки прошивки / программного обеспечения
BATMtwo содержит встроенный компьютер на базе NXP i.MX6. Наша команда обнаружила, что BATMtwo не использует функцию безопасной загрузки процессора и что его можно перепрограммировать, просто подключив USB-кабель к порту на несущей плате и включив компьютер, удерживая кнопку.
Кроме того, мы обнаружили, что загрузчик устройства разблокирован: простого подключения последовательного адаптера к порту UART на устройстве достаточно для получения привилегированного доступа к загрузчику.
Следует отметить, что процесс безопасной загрузки многих процессоров i.MX6 жертвами к атаке, однако на рынке присутствуют более новые процессоры с исправленной уязвимостью (хотя они могут быть недоступны из-за глобальной нехватки микросхем).
Отсутствие защиты от подделки межсайтовых запросов в серверной части банкомата
Банкоматы BATM управляются с помощью «сервера криптографических приложений» - управляющего программного обеспечения, которое может быть размещено оператором или лицензировано как SaaS.
Наша команда обнаружила, что CAS не реализует никаких Подделка межсайтовых запросов средства защиты, позволяющие злоумышленнику генерировать аутентифицированные запросы к CAS. Хотя большинство конечных точек в некоторой степени защищены очень трудно угадываемыми идентификаторами, мы смогли идентифицировать несколько векторов CSRF, которые могут успешно скомпрометировать CAS.
Будьте осторожны и изучайте альтернативы
Банкоматы с криптовалютой BATM оказались для людей простой альтернативой для покупки цифровых активов. Однако безопасность этих машин остается под вопросом из-за известных эксплойтов как в их аппаратном, так и в программном обеспечении.
Kraken Security Labs рекомендует использовать BATMtwo только в надежном месте.
Узнать подробности наше онлайн-руководство по безопасности чтобы узнать больше о том, как защитить себя при совершении криптовалютных транзакций.
- "
- 7
- доступ
- активно
- дополнительный
- Администратор
- Все
- Позволяющий
- android
- Применение
- Приложения
- апрель
- около
- Активы
- ATM
- свободных мест
- задняя дверь
- ЛУЧШЕЕ
- лучшие практики
- Билл
- Bitcoin
- Биткойн-банкомат
- доска
- Коробка
- камеры
- Наличный расчёт
- код
- Общий
- Потребители
- содержание
- крипто-
- Crypto ATM
- криптовалюты
- криптовалюта
- Клиенты
- Интернет
- Цифровые активы
- Упражнение
- Эксплуатировать
- завод
- Особенности
- отпечаток пальца
- недостатки
- ФЛОТ
- следовать
- Для потребителей
- полный
- Общие
- Глобальный
- Цели
- Аппаратные средства
- хэш
- Как
- How To
- HTTPS
- определения
- ходе расследования,
- вопросы
- IT
- Основные
- ключи
- Kraken
- Labs
- большой
- УЧИТЬСЯ
- локальным
- расположение
- блокировка
- Продукция
- Создание
- управление
- рынок
- Microsoft
- предлагают
- онлайн
- операционный
- операционная система
- Другое
- владелец
- Владельцы
- Пароль
- Патчи
- Люди
- частная
- Частные ключи
- Продукт
- для защиты
- покупки
- QR-код
- читатель
- Reading
- безопасность
- набор
- установка
- So
- Software
- магазины
- Поддержка
- наблюдение
- система
- Тестирование
- время
- Сделки
- Доверие
- ui
- открывай
- USB
- пользователей
- Видео
- Уязвимости
- уязвимость
- Википедия.
- YouTube
