Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Badacze z Kraken Security Labs znaleźli szereg luk w bitomacie BATMTwo
W 2019 roku opisywaliśmy nietypowe złośliwe oprogramowanie Cutlet Maker, które umożliwiało atakującemu z fizycznym dostępem do bankomatu opróżnienie wszystkich kasetek z pieniędzmi – bez konieczności posiadania jakiejkolwiek karty płatniczej (tzw. jackpotting). Zapewnienia bezpieczeństwa w przypadku tradycyjnych bankomatów nie ułatwiał fakt, że większość urządzeń korzystała z przestarzałego już Windowsa XP. Z kolei wraz z rozwojem i popularyzacją kryptowalut na rynek wprowadzono tzw. bitomaty, czyli bankomaty BTC. Jak się jednak okazuje, stan tych urządzeń również pozostawia wiele do życzenia, co możemy wywnioskować na podstawie publikacji badaczy z giełdy kryptowalutowej Kraken. Odkryli oni szereg luk umożliwiających przejęcie kontroli nad popularnym bitomatem – BATMTwo firmy General Bytes:
Jak można zauważyć na powyższym filmie, pierwszy błąd bezpieczeństwa może przyczynić się do uzyskania kontroli nad bankomatem BTC za pomocą odpowiedniego kodu QR. W tym przypadku kod zawiera domyślny „klucz administracyjny”, zapewniający dostęp do interfejsu administratora:
Kolejną wadą udokumentowaną przez Kraken Security Labs jest słaby stan zabezpieczeń „fizycznych” – GBBATM2 ma tylko jedną komorę, która chroniona jest pojedynczym zamkiem rurowym. Ponadto urządzenie nie posiada żadnego systemu alarmów, co umożliwia atakującemu praktycznie bezkarne manipulowanie przy bitcoinowym bankomacie.
Badacze doszukali się problemu również w podstawowych zabezpieczeniach systemu operacyjnego wykorzystywanego przez BATMTwo. Gdy mówimy o tradycyjnych bankomatach, zazwyczaj mamy do czynienia ze „starym, ale jarym” Windowsem XP z 2001 roku. W tym przypadku firma General Bytes postawiła jednak na system operacyjny Android, kojarzony przede wszystkim z urządzeniami mobilnymi. Choć wybór Androida sam w sobie nie jest zły, to brak wykorzystania trybu „kiosk” umożliwia atakującemu podłączenie własnej klawiatury, a następnie – za pomocą interfejsu graficznego – instalację aplikacji czy kopiowanie plików. Jeśli więc kiedykolwiek natraficie na bankomat BTC wymieniony w artykule, zalecamy ostrożność, zwłaszcza gdy w pobliżu nie ma żadnych kamer…
~ Jakub Bielaszewski
