" Обычно используемая модель биткоин-банкоматов имеет несколько уязвимостей программного и аппаратного обеспечения, показала вчера Kraken Security Labs в блоге.
Команда безопасности уведомила производителя, General Bytes, 20 апреля о векторах атаки. По словам Kraken, General Bytes выпустила патчи для серверной системы, но некоторые исправления могут потребовать пересмотра оборудования. Банкоматы Bitcoin позволяют пользователям покупать биткоин с помощью фиатной валюты. General Bytes является вторым по величине производителем банкоматов Bitcoin, на долю которого приходится 22,7% мирового рынка, по данным информационного провайдера Coin ATM Radar.
По словам Kraken, рассматриваемая модель, BATMtwo (GBBATM2), имела несколько уязвимостей, включая административный QR-код по умолчанию, базовое операционное программное обеспечение Android, систему управления банкоматом и аппаратный корпус машины.
"Наша команда обнаружила, что большое количество банкоматов настроено с одним и тем же QR-кодом администратора по умолчанию, что позволяет любому, у кого есть этот QR-код, подойди к банкомату и скомпрометировать его. Наша команда также обнаружила отсутствие безопасных механизмов загрузки, а также критические уязвимости в системе управления банкоматами".
"У Kraken Security Labs есть две цели, когда мы выявляем уязвимости криптоаппаратного обеспечения: повысить осведомленность пользователей о потенциальных недостатках безопасности и предупредить производителей продуктов, чтобы они могли решить проблему. Kraken Security Labs сообщила об уязвимостях в General Bytes 20 апреля 2021 года, они выпустили исправления для своей серверной системы (CAS) и предупредили своих клиентов, но полные исправления некоторых проблем все еще могут потребовать пересмотра оборудования".
