Kraken Security Labs выявляет уязвимости в широко используемом биткойн-банкомате


Биткойн-банкоматы предлагают потребителям удобный и удобный способ покупки криптовалюты. Такая простота использования иногда может происходить за счет безопасности.

Kraken Security Labs обнаружила несколько аппаратных и программных уязвимостей в широко используемом банкомате с криптовалютой: The General Bytes BATMtwo (GBBATM2). Многие векторы атак были обнаружены через административный QR-код по умолчанию, операционное программное обеспечение Android, систему управления банкоматом и даже аппаратное шасси машины.

Наша команда обнаружила, что многие банкоматы настроены с одним и тем же QR-кодом администратора по умолчанию, который позволяет любому, у кого есть этот QR-код, подойти к банкомату и взломать его. Наша команда также обнаружила отсутствие механизмов безопасной загрузки, а также критические недостатки в системе управления банкоматом.

Когда мы обнаруживаем уязвимости в криптографическом оборудовании, Kraken Security Labs преследует две цели: информировать пользователей о потенциальных уязвимостях и предупреждать производителей продуктов, чтобы они могли решить проблему. Kraken Security Labs сообщила об уязвимостях в General Bytes 20 апреля 2021 года, они выпустили исправления для своей серверной системы (CAS) и уведомили своих клиентов, но для полного исправления некоторых проблем могут потребоваться аппаратные исправления.

В видео ниже мы кратко покажем, как злоумышленники могут использовать уязвимости в криптовалютном банкомате General Bytes BATMtwo.

В дальнейшем Kraken Security Labs представляет точную природу этих угроз безопасности, чтобы помочь вам лучше понять, почему вы должны быть осторожны перед использованием этих машин.

Прежде чем использовать банкомат с криптовалютой

  1. Используйте банкоматы с криптовалютой только в тех местах и ​​магазинах, которым вы доверяете.
  2. Убедитесь, что банкомат оснащен функциями безопасности по периметру, такими как камеры наблюдения, и что необнаруженный доступ к банкомату маловероятен.

Если вы владелец или используете BATM

  1. Измените QR-код администратора по умолчанию, если вы этого не делали во время первоначальной настройки.
  2. Обновите свой сервер CAS и следуйте рекомендациям General Bytes.
  3. Размещайте банкоматы в местах с контролем безопасности, например в местах с камерами наблюдения.

Один QR-код, чтобы управлять ими всеми

Просто отсканируйте QR-код, чтобы получить доступ к нескольким системам BATM.

Как только владелец получит GBBATM2, ему будет предложено настроить банкомат с помощью QR-кода «Административный ключ», который необходимо отсканировать в банкомате. QR-код, содержащий пароль, необходимо установить отдельно для каждого банкомата в серверной системе:

Однако, просматривая код интерфейса администратора, мы обнаружили, что он содержит хэш заводского ключа администратора по умолчанию. Мы приобрели много бывших в употреблении банкоматов из различных источников, и наше расследование показало, что каждый из них имеет одинаковую конфигурацию ключей по умолчанию.

Это означает, что значительное количество владельцев GBBATM2 не изменили QR-код администратора по умолчанию. На момент наших тестов административный ключ не управлял флотом, а это значит, что каждый QR-код нужно менять вручную.

Таким образом, любой может получить доступ к банкомату через интерфейс администратора, просто изменив адрес сервера управления банкоматом.

Оборудование

Отсутствие разделения на отсеки и обнаружения несанкционированного доступа

GBBATM2 имеет только один отсек, который защищен одним трубчатым замком. Обходя его, вы получаете прямой доступ ко всему внутреннему пространству устройства. Это также дает дополнительную уверенность человеку, заменяющему кассовый аппарат, поскольку он может легко войти в черный ход.

Устройство не включает локальную или серверную сигнализацию, предупреждающую других о том, что внутренние компоненты находятся в опасности. На этом этапе потенциальный злоумышленник может взломать кассовый аппарат, встроенный компьютер, веб-камеру и сканер отпечатков пальцев.

Внутри крипто-банкомата: встроенные компоненты, такие как веб-камера Microsoft, купюроприемник и специальная плата на предъявителя.

Программное обеспечение

Недостаточная блокировка ОС Android

В операционной системе Android от BATMtwo также отсутствуют многие общие функции безопасности. Мы обнаружили, что, подключив USB-клавиатуру к BATM, можно получить прямой доступ к полному пользовательскому интерфейсу Android, что позволяет любому устанавливать приложения, копировать файлы или выполнять другие вредоносные действия (такие как отправка закрытых ключей злоумышленнику). Android поддерживает «режим киоска», который блокирует пользовательский интерфейс в одном приложении, что может помешать человеку получить доступ к другим областям программного обеспечения, но это не было включено в банкомате.

Клавиатура и USB-накопитель – это все, что необходимо для корневого доступа к банкомату после его открытия.

Нет проверки прошивки / программного обеспечения

BATMtwo встраиваемый компьютер: SoM Variscite i.MX6 с нестандартной несущей пластиной.

BATMtwo включает в себя встроенный компьютер на базе NXP i.MX6. Наша команда обнаружила, что BATMtwo не использует функцию безопасной загрузки ЦП и что его можно перепрограммировать, просто подключив USB-кабель к порту переходной платы и включив компьютер, удерживая нажатой кнопку.

Кроме того, мы обнаружили, что загрузчик устройства разблокирован: просто подключите последовательный адаптер к порту UART на устройстве для привилегированного доступа к загрузчику.

Обратите внимание, что процесс безопасной загрузки i.MX6 с несколькими процессорами чувствительный на атаку, однако, на рынке доступны более новые процессоры с исправлениями (хотя они могут быть недоступны из-за глобальной нехватки микросхем).

Отсутствие защиты от подделки межсайтовых запросов в серверной части банкомата

Банкоматы BATM управляются «сервером криптографических приложений» – управляющим программным обеспечением, которое может быть размещено оператором или лицензировано как SaaS.

Наша команда обнаружила, что CAS не вводит никаких Подделка межсайтовых запросов меры безопасности, которые позволяют злоумышленнику генерировать аутентифицированные запросы к CAS. Хотя большинство конечных точек в некоторой степени защищены идентификаторами, которые трудно угадать, мы смогли идентифицировать множество векторов CSRF, которые могут успешно нарушать CAS.

Будьте осторожны и узнайте об альтернативах

Банкоматы с криптовалютой BATM оказались для людей простой альтернативой для покупки цифровых активов. Однако безопасность этих машин остается под вопросом из-за известных уязвимостей как в их аппаратном, так и в программном обеспечении.

Kraken Security Labs рекомендует использовать BATMtwo только в надежном месте.

Ознакомьтесь с нашим руководством по онлайн-безопасности, чтобы узнать больше о том, как защитить себя при совершении криптовалютных транзакций.


Купить крипту на BINANCE и получить ваучер на 100USDT! Успей сейчас, предложение ограничено!


Оставьте ваш отзыв!

Leave a reply

Майнинг, блокчейн, криптовалюты, цены, купить-продать, графики, прогнозы
Logo
Enable registration in settings - general