Біткойн-банкомати пропонують споживачам зручний і зручний спосіб купувати криптовалюти. Простота використання іноді може прийти за рахунок безпеки.
Kraken Security Labs виявила численні вразливості апаратного та програмного забезпечення в широко використовуваному банкоматі для криптовалют: General Bytes BATMtwo (GBBATM2). Кілька векторів атаки були виявлені через адміністративний QR-код за замовчуванням, операційне програмне забезпечення Android, систему керування банкоматом і навіть апаратний корпус машини.
Наша команда виявила, що велика кількість банкоматів налаштовано з однаковим QR-кодом адміністратора за замовчуванням, що дозволяє кожному, хто має цей QR-код, підійти до банкомату та зламати його. Наша команда також виявила відсутність безпечних механізмів завантаження, а також критичні вразливості в системі керування банкоматами.
Kraken Security Labs переслідує дві цілі, коли ми виявляємо уразливості криптографічного обладнання: поінформувати користувачів про потенційні недоліки безпеки та попередити виробників продуктів, щоб вони могли вирішити проблему. Kraken Security Labs повідомила General Bytes про вразливості 20 квітня 2021 року, вони випустили виправлення для своєї серверної системи (CAS) і попередили своїх клієнтів, але повні виправлення деяких проблем все ще можуть вимагати перегляду апаратного забезпечення.
У наведеному нижче відео ми коротко демонструємо, як зловмисники можуть використовувати вразливості в банкоматі для криптовалюти General Bytes BATMtwo.
Продовжуючи читати, Kraken Security Labs описує точну природу цих ризиків безпеці, щоб допомогти вам краще зрозуміти, чому вам слід бути обережними перед використанням цих машин.
Перед використанням банкомату з криптовалютою
- Використовуйте банкомати з криптовалютою лише в місцях і магазинах, яким ви довіряєте.
- Переконайтеся, що банкомат має засоби захисту периметра, наприклад камери спостереження, і що невиявлений доступ до банкомату є малоймовірним.
Якщо ви володієте або керуєте BATM
- Змініть стандартний QR-код адміністратора, якщо ви не зробили цього під час початкового налаштування.
- Оновіть свій сервер CAS і дотримуйтесь найкращих практик General Bytes.
- Розміщуйте банкомати в місцях із засобами безпеки, як-от камери спостереження.
Один QR-код, щоб керувати ними всіма
Коли власник отримує GBBATM2, він отримує інструкцію налаштувати банкомат за допомогою QR-коду «Ключ адміністрування», який потрібно відсканувати в банкоматі. QR-код із паролем потрібно встановити окремо для кожного банкомату у серверній системі:
Однак під час перегляду коду, що стоїть за інтерфейсом адміністратора, ми виявили, що він містить хеш ключа адміністрування стандартних заводських налаштувань. Ми придбали кілька вживаних банкоматів з різних джерел, і наше дослідження показало, що кожен мав однакову конфігурацію ключа за замовчуванням.
Це означає, що значна кількість власників GBBATM2 не змінювали стандартний QR-код адміністратора. Під час нашого тестування не було керування автопарком для ключа адміністрування, тобто кожен QR-код потрібно змінювати вручну.
Таким чином, будь-хто міг отримати контроль над банкоматом через інтерфейс адміністрування, просто змінивши адресу сервера керування банкоматом.
Обладнання
Відсутність розділення та виявлення втручання
GBBATM2 має лише одне відділення, захищене одним трубчастим замком. Його обхід забезпечує прямий доступ до всіх внутрішніх компонентів пристрою. Це також створює значну додаткову довіру до особи, яка замінює касу, оскільки їй легко зробити бекдор пристрою.
Пристрій не містить локальної або серверної сигналізації, щоб сповіщати інших про те, що внутрішні компоненти піддаються впливу. У цей момент потенційний зловмисник може зламати касу, вбудований комп’ютер, веб-камеру та сканер відбитків пальців.
Програмне забезпечення
Недостатнє блокування ОС Android
Операційна система Android BATMtwo також не має багатьох загальних функцій безпеки. Ми виявили, що підключивши USB-клавіатуру до BATM, можна отримати прямий доступ до повного інтерфейсу користувача Android, дозволяючи будь-кому встановлювати програми, копіювати файли або виконувати інші шкідливі дії (наприклад, надсилати особисті ключі зловмиснику). Android підтримує «Режим кіоску», який блокує інтерфейс користувача в одній програмі, що може завадити людині отримати доступ до інших областей програмного забезпечення, однак це не було ввімкнено в банкоматі.
Немає перевірки мікропрограми/програмного забезпечення
BATMtwo містить вбудований комп’ютер на базі NXP i.MX6. Наша команда виявила, що BATMtwo не використовує функцію безпечного завантаження процесора, і його можна перепрограмувати, просто підключивши кабель USB до порту на платі-носії та увімкнувши комп’ютер, утримуючи натиснутою кнопку.
Крім того, ми виявили, що завантажувач пристрою розблоковано: достатньо просто підключити послідовний адаптер до порту UART на пристрої, щоб отримати привілейований доступ до завантажувача.
Слід зазначити, що процес безпечного завантаження багатьох процесорів i.MX6 є уразливий до атаки, проте на ринку є новіші процесори з виправленою вразливістю (хоча вони можуть бути недоступними через глобальну нестачу чіпів).
Відсутність захисту від підробки міжсайтових запитів у серверній частині банкомату
Банкоматами BATM керують за допомогою «Crypto Application Server» – програмного забезпечення для керування, яке може розміщуватися оператором або ліцензуватися як SaaS.
Наша команда виявила, що CAS не реалізує жодного Підробка міжсайтових запитів засоби захисту, що дозволяє зловмиснику створювати автентифіковані запити до CAS. Хоча більшість кінцевих точок певною мірою захищені ідентифікаторами, які важко вгадати, нам вдалося ідентифікувати кілька векторів CSRF, які можуть успішно скомпрометувати CAS.
Будьте обережні та шукайте альтернативи
Криптовалютні банкомати BATM виявилися простою альтернативою для купівлі цифрових активів. Однак безпека цих машин залишається під питанням через відомі експлойти в їх апаратному та програмному забезпеченні.
Kraken Security Labs рекомендує використовувати BATMtwo лише в надійному місці.
Перевіряти наш посібник з онлайн-безпеки щоб дізнатися більше про те, як захистити себе під час здійснення криптовалютних транзакцій.
- "
- 7
- доступ
- діяльності
- Додатковий
- адмін
- ВСІ
- Дозволити
- чоловіча
- додаток
- застосування
- квітня
- навколо
- Активи
- Банкомат
- наявність
- закулісний
- КРАЩЕ
- передового досвіду
- Білл
- Біткойн
- Bitcoin ATM
- рада
- Box
- камери
- готівкові гроші
- код
- загальний
- Споживачі
- зміст
- крипто
- Крипто банкомат
- cryptocurrencies
- криптовалюта
- Клієнти
- цифровий
- Цифрові активи
- Здійснювати
- Експлуатувати
- завод
- риси
- відбиток пальця
- недоліки
- ФЛЕТ
- стежити
- Для споживачів
- Повний
- Загальне
- Глобальний
- Цілі
- апаратні засоби
- мішанина
- Як
- How To
- HTTPS
- ідентифікувати
- дослідження
- питання
- IT
- ключ
- ключі
- Кракена
- Labs
- великий
- УЧИТЬСЯ
- місцевий
- розташування
- блокування
- Машинки для перманенту
- Робить
- управління
- ринок
- Microsoft
- пропонувати
- онлайн
- операційний
- операційна система
- Інше
- власник
- Власники
- Пароль
- Патчі
- Люди
- приватний
- Приватні ключі
- Product
- захист
- покупка
- QR-код
- читач
- читання
- безпеку
- комплект
- установка
- So
- Софтвер
- магазинів
- Опори
- спостереження
- система
- Тестування
- час
- Transactions
- Довіряйте
- ui
- розкрити
- USB
- користувачі
- Відео
- Уразливості
- вразливість
- Вікіпедія
- YouTube