Nasz zespół odkrył, że duża liczba bitomatów jest skonfigurowana z tym samym domyślnym kodem QR administratora, co pozwala każdemu, kto posiada ten kod QR, podejść do bankomatu i wykorzystać go. Nasz zespół znalazł również brak mechanizmów bezpiecznego uruchamiania systemu, a także krytyczne luki w systemie zarządzania bitomatami.Odkryte przez Krakena luki mają zarówno sprzętowe, jak i programowe konsekwencje dla maszyn General Bytes.
? Bitcoin ATMs are a convenient way to purchase crypto - but are they safe?
?️♂️ Kraken Security Labs discovered flaws in one major ATM fleet. Learn more: //t.co/sYmYY1PUMx pic.twitter.com/xwMmWcgmSY — Kraken Exchange (@krakenfx) September 29, 2021
Szczegóły
Według Krakena, bitomat BATMtwo od General Bytes posiada tylko jeden obszar chroniony zamkiem. Obejście go zapewnia bezpośredni dostęp do pełnego wnętrza urządzenia. Atakujący może w ten sposób narazić na szwank kasę, wbudowany komputer, kamerę i czytnik linii papilarnych.Podłączając klawiaturę USB do BATMtwo, można było uzyskać pełny dostęp do interfejsu użytkownika. Teoretycznie pozwoliłoby to potencjalnym napastnikom na instalowanie aplikacji, kopiowanie plików, a nawet na wysyłanie przez urządzenie kluczy prywatnych do napastnika.
Komentarze