Bitcoin ATM'leri tüketicilere kripto para satın almaları için uygun ve dostane bir yol sunar. Bu kullanım kolaylığı bazen güvenliğin pahasına olabilir.
Kraken Güvenlik Laboratuvarları, yaygın olarak kullanılan bir kripto para birimi ATM'sinde çok sayıda donanım ve yazılım güvenlik açığını ortaya çıkardı: General Bytes BATMtwo (GBBATM2). Varsayılan idari QR kodu, Android işletim yazılımı, ATM yönetim sistemi ve hatta makinenin donanım kasası aracılığıyla birden fazla saldırı vektörü bulundu.
Ekibimiz, çok sayıda ATM'nin aynı varsayılan yönetici QR koduyla yapılandırıldığını ve bu QR koduna sahip herkesin bir ATM'ye yaklaşıp onu tehlikeye atmasına olanak tanıdığını tespit etti. Ekibimiz ayrıca ATM yönetim sistemindeki kritik güvenlik açıklarının yanı sıra güvenli önyükleme mekanizmalarının eksikliğini de tespit etti.
Kraken Security Labs'ın, kripto donanımındaki güvenlik açıklarını ortaya çıkardığımızda iki hedefi vardır: Kullanıcılar için potansiyel güvenlik kusurları hakkında farkındalık yaratmak ve sorunu çözebilmeleri için ürün üreticilerini uyarmak. Kraken Security Labs, 20 Nisan 2021'de güvenlik açıklarını General Bytes'a bildirdi. Arka uç sistemlerine (CAS) yamalar yayınlayarak müşterilerini uyardılar ancak bazı sorunların tam düzeltmeleri hâlâ donanım revizyonları gerektirebilir.
Aşağıdaki videoda, kötü niyetli saldırganların General Bytes BATMtwo kripto para ATM'sindeki güvenlik açıklarından nasıl yararlanabileceğini kısaca gösteriyoruz.
Okumaya devam ederek Kraken Security Labs, bu makineleri kullanmadan önce neden dikkatli olmanız gerektiğini daha iyi anlamanıza yardımcı olmak için bu güvenlik risklerinin kesin doğasını özetlemektedir.
Kripto para ATM'sini kullanmadan önce
- Kripto para ATM'lerini yalnızca güvendiğiniz konumlarda ve mağazalarda kullanın.
- ATM'nin güvenlik kameraları gibi çevre korumalarına sahip olduğundan ve ATM'ye tespit edilmeden erişimin mümkün olmadığından emin olun.
BATM'lere sahipseniz veya işletiyorsanız
- İlk kurulum sırasında yapmadıysanız varsayılan QR yönetici kodunu değiştirin.
- CAS sunucunuzu güncelleyin ve General Bytes'ın en iyi uygulamalarını takip edin.
- ATM'leri güvenlik kameraları gibi güvenlik kontrollerinin olduğu yerlere yerleştirin.
Hepsine Hükmetecek Tek QR Kodu
 100vw, 730px”><figcaption id=)
Birçok BATM'yi devralmak için tek yapmanız gereken bir QR kodunu taramaktır.Sahibi GBBATM2'yi aldığında, kendisine ATM'de taranması gereken bir "Yönetim Anahtarı" QR koduyla ATM'yi kurması talimatı verilir. Şifre içeren QR kodu, arka uç sistemindeki her ATM için ayrı ayrı ayarlanmalıdır:
Ancak yönetici arayüzünün arkasındaki kodu incelerken, bunun varsayılan fabrika ayarı yönetim anahtarının bir karmasını içerdiğini gördük. Farklı kaynaklardan birden fazla kullanılmış ATM satın aldık ve araştırmamız her birinin aynı varsayılan anahtar yapılandırmasına sahip olduğunu ortaya çıkardı.
Bu, önemli sayıda GBBATM2 sahibinin varsayılan yönetici QR kodunu değiştirmediği anlamına gelir. Testimiz sırasında yönetim anahtarı için filo yönetimi yoktu, bu da her QR kodunun manuel olarak değiştirilmesi gerektiği anlamına geliyordu.
Bu nedenle, herkes ATM'nin yönetim sunucusu adresini değiştirerek yönetim arayüzü aracılığıyla ATM'nin yönetimini devralabilir.
Donanım
Bölümlendirme Yok ve Müdahale Tespiti
GBBATM2 yalnızca tek bir boru şeklinde kilitle korunan tek bir bölmeye sahiptir. Bunu atlamak, cihazın tüm dahili bileşenlerine doğrudan erişim sağlar. Bu aynı zamanda kasayı değiştiren kişiye de önemli ölçüde ek güven sağlar çünkü cihaza arka kapı açmaları kolaydır.
Cihaz, diğerlerini dahili bileşenlerin açığa çıktığı konusunda uyaracak yerel veya sunucu tarafı alarmı içermez. Bu noktada olası bir saldırgan para kutusunu, yerleşik bilgisayarı, web kamerasını ve parmak izi okuyucusunu tehlikeye atabilir.
Yazılım
Android İşletim Sisteminin Yetersiz Kilitlenmesi
BATMtwo'nun Android işletim sistemi de birçok ortak güvenlik özelliğinden yoksundur. BATM'ye bir USB klavye takarak, tam Android kullanıcı arayüzüne doğrudan erişim elde etmenin mümkün olduğunu gördük; böylece herkesin uygulama yüklemesine, dosyaları kopyalamasına veya diğer kötü amaçlı faaliyetleri (saldırgana özel anahtarlar göndermek gibi) gerçekleştirmesine olanak tanındı. Android, kullanıcı arayüzünü tek bir uygulamaya kilitleyen bir "Kiosk Modu"nu destekler; bu, bir kişinin yazılımın diğer alanlarına erişmesini engelleyebilir, ancak bu, ATM'de etkinleştirilmemiştir.
Firmware/Yazılım Doğrulaması Yok
BATMtwo, NXP i.MX6 tabanlı yerleşik bir bilgisayar içerir. Ekibimiz, BATMtwo'nun işlemcinin güvenli önyükleme işlevselliğini kullanmadığını ve USB kablosunu taşıyıcı karttaki bir bağlantı noktasına takarak ve bir düğmeyi basılı tutarak bilgisayarı açarak basitçe yeniden programlanabileceğini buldu.
Ek olarak, cihazın önyükleyicisinin kilidinin açık olduğunu da tespit ettik: Cihazdaki UART bağlantı noktasına bir seri adaptör bağlamanız, önyükleyiciye ayrıcalıklı erişim elde etmek için yeterlidir.
Pek çok i.MX6 işlemcinin güvenli önyükleme işleminin savunmasız ancak güvenlik açığı yamalı daha yeni işlemciler piyasada (her ne kadar küresel çip kıtlığı göz önüne alındığında mevcut olmasalar da).
ATM Arka Uçunda Siteler Arası Talep Sahteciliği Koruması Yok
BATM ATM'leri, operatör tarafından barındırılabilen veya SaaS olarak lisanslanabilen bir yönetim yazılımı olan "Kripto Uygulama Sunucusu" kullanılarak yönetilir.
Ekibimiz CAS'ın herhangi bir uygulama yapmadığını tespit etti Siteler Arası İstek Sahteciliği Saldırganın CAS'a kimliği doğrulanmış istekler oluşturmasını mümkün kılan korumalar. Çoğu uç nokta, tahmin edilmesi çok zor olan kimliklerle bir şekilde korunuyor olsa da, CAS'ı başarıyla tehlikeye atabilecek birden fazla CSRF vektörünü tanımlamayı başardık.
Dikkatli Olun ve Alternatifleri Keşfedin
BATM kripto para ATM'leri, insanların dijital varlık satın alması için kolay bir alternatif olduğunu kanıtlıyor. Ancak bu makinelerin güvenliği, hem donanım hem de yazılımlarındaki bilinen açıklardan dolayı hâlâ şüphelidir.
Kraken Security Labs, BATMtwo'yu yalnızca güvendiğiniz bir konumda kullanmanızı önerir.
Çıkış yapmak çevrimiçi güvenlik kılavuzumuz Kripto işlemleri yaparken kendinizi nasıl koruyacağınız hakkında daha fazla bilgi edinmek için.
- "
- 7
- erişim
- faaliyetler
- Ek
- Gizem
- Türkiye
- Izin
- android
- Uygulama
- uygulamaları
- Nisan
- etrafında
- Varlıklar
- ATM
- kullanılabilirliği
- arka kapı
- İYİ
- en iyi uygulamalar
- Fatura
- Bitcoin
- Bitcoin ATM
- yazı tahtası
- kutu
- Kameralar
- Nakit
- kod
- ortak
- Tüketiciler
- içerik
- kripto
- Kripto ATM
- cryptocurrencies
- cryptocurrency
- Müşteriler
- dijital
- Dijital Varlıklar
- Egzersiz
- sömürmek
- fabrika
- Özellikler
- parmak izi
- kusurları
- FİLO
- takip et
- Tüketiciler İçin
- tam
- genel
- Küresel
- Goller
- donanım
- esrar
- Ne kadar
- Nasıl Yapılır
- HTTPS
- belirlemek
- soruşturma
- sorunlar
- IT
- anahtar
- anahtarlar
- deniz canavarı
- Labs
- büyük
- ÖĞRENİN
- yerel
- yer
- kilitleme
- Makineler
- Yapımı
- yönetim
- pazar
- Microsoft
- teklif
- Online
- işletme
- işletim sistemi
- Diğer
- sahip
- sahipleri
- Şifre
- Yamalar
- İnsanlar
- özel
- Özel Anahtarlar
- PLATFORM
- korumak
- satın alma
- QR code
- Okuyucu
- Okuma
- güvenlik
- set
- ayar
- So
- Yazılım
- mağaza
- Destekler
- gözetim
- sistem
- Test yapmak
- zaman
- işlemler
- Güven
- ui
- ortaya çıkarmak
- usb
- kullanıcılar
- Video
- güvenlik açıkları
- güvenlik açığı
- Vikipedi
- Youtube
