A mun usando un bancomat di criptovaluta General Bytes a Palma di Maiorca, Spagna, nell’agosto 2021.
Foto: Carlos Alvarez (Getty Images)

Molti dei bancomat Bitcoin che hanno spuntato ovunque dalle stazioni di servizio e negozi di fumo a bar e centri commerciali in tutti gli Stati Uniti hanno grandi vulnerabilità di sicurezza che li rendono suscettibili agli hacker, secondo un nuovo rapporto dai ricercatori di sicurezza della borsa di criptovalute Kraken.

Il sito web howmanybitcoinatms.com stima che ci sono oltre 42.000 bancomat Bitcoin attivi in tutti gli Stati Uniti, una massiccia impennata da gennaio 2021, quando Reuters ha riferito il sito ha elencato 28.000. Tali bancomat permettono agli utenti di acquistare criptovalute con contanti o credito (anche se non sempre il contrario) ed elaborare dati finanziari sensibili. A differenza di quando si ha a che fare con i normali bancomat gestiti dalle banche, la natura distribuita delle reti di criptovalute e la mancanza di regolamenti significa che i clienti hanno meno possibilità di ricorso se qualcosa va disastrosamente male. Inoltre, i mercati target per i dispositivi includono persone che tengono i soldi in criptovalute piuttosto che in banche e persone che non vogliono che i loro trasferimenti attirino l’attenzione, sia per scopi legittimi o altrimenti. Mqualsiasi sono anche situati in luoghi rischiosi come i negozi di liquori. Così i bancomat Bitcoin sono stati obiettivi succulenti per malware e truffe in passato.

Kraken ha scoperto una serie di difetti software e hardware con il modello General Bytes BATMtwo (GBBATM2) di bancomat. Moneta bancomat stime il produttore ha fornito quasi il 23% di tutti i bancomat criptati in tutto il mondo; negli Stati Uniti, quella percentuale è del 18,5%, mentre in Europa è del 65,4%.

Per esempio, i proprietari hanno installato molte unità GBBATM2 senza cambiare il codice QR admin predefinito che serve come password, il che significa che chiunque ottenga quel codice potrebbe prenderne il controllo. Altri problemi Kraken ha scritto che ha trovato incluso una mancanza di meccanismi di avvio sicuro, il che significa che un hacker potrebbe ingannare un GBBATM2 in esecuzione di codice dannoso, e “vulnerabilità critiche nel sistema di gestione ATM”.

Il problema del codice QR è particolarmente grave, hanno scritto i ricercatori di Kraken, perché hanno scoperto che il codice predefinito è condiviso tra le unità. Questo è un po’ come comprare un nuovo computer e dimenticare di cambiare la password in qualcosa di diverso da “admin”:

Quando un proprietario riceve il GBBATM2, viene istruito a configurare l’ATM con un codice QR “Administration Key” che deve essere scansionato sull’ATM. Il codice QR contenente una password deve essere impostato separatamente per ogni ATM nel sistema di backend.

Tuttavia, esaminando il codice dietro l’interfaccia di amministrazione, abbiamo scoperto che contiene un hash di una chiave di amministrazione predefinita di fabbrica. Abbiamo acquistato più bancomat usati da diverse fonti e la nostra indagine ha rivelato che ognuno di essi aveva la stessa configurazione della chiave di default.

Kraken ha scoperto che non c’era una “gestione della flotta” per i codici QR admin, il che significa che ogni unità deve avere quelle password critiche aggiornate manualmente. Questo significa che chiunque abbia conoscenza della vulnerabilità potrebbe prendere il controllo di un GBBATM2 con il codice predefinito “attraverso l’interfaccia di amministrazione semplicemente cambiando l’indirizzo del server di gestione dell’ATM”, hanno scritto i ricercatori.

Il rapporto di Kraken ha anche notato che gli interni dell’unità sono alloggiati in un “singolo compartimento che è protetto da una singola serratura tubolare”, mentre il GBBATM2 non ha allarmi locali o lato server per notificare a qualcuno che è stato aperto. Questo è insicuro in generale, ma è particolarmente brutto perché i proprietari probabilmente non sono gli unici ad avere le chiavi, perché qualcuno deve cambiare la cassa. Secondo il rapporto, chiunque abbia la chiave potrebbe compromettere i componenti interni come la cassa o il computer, o le periferiche come il lettore di impronte digitali e la fotocamera.

Il sistema operativo Android in esecuzione sul GBBATM2 manca anche di funzioni di sicurezza di base, ha scritto Kraken, come il blocco dell’intera UI di Android:

Abbiamo scoperto che attaccando una tastiera USB al BATM, è possibile ottenere l’accesso diretto all’intera UI di Android – permettendo a chiunque di installare applicazioni, copiare file o condurre altre attività dannose (come inviare chiavi private all’attaccante). Android supporta un “Kiosk Mode” che bloccherebbe l’UI in una singola applicazione – che potrebbe impedire ad una persona di accedere ad altre aree del software, tuttavia questo non era abilitato sul bancomat.

Altri gravi difetti includevano la mancata abilitazione della funzionalità secure-boot o il blocco del bootloader. Nel primo caso, ha scritto Kraken, questo significa che il codice privilegiato potrebbe essere eseguito da un malintenzionato semplicemente collegando un cavo USB in una scheda di sistema e riavviando tenendo premuto un pulsante, mentre nel secondo, l’attaccante avrebbe solo bisogno di collegare un cavo seriale in una porta UART. L’azienda ha anche scoperto che il Crypto Application Server (CAS) che gestisce i bancomat non ha un sistema di Cross-Site Request Forgery, il che significa che gli aggressori potrebbero potenzialmente falsificare le richieste autenticate.

Kraken raccomanda a chiunque utilizzi un bancomat Bitcoin di effettuare transazioni di criptovaluta in luoghi affidabili che sono protetti da telecamere di sorveglianza. Per gli operatori, stanno praticamente pregando di cambiare il codice QR di default e di installare quelle telecamere in primo luogo. Il rapporto ha detto che General Bytes ha aggiornato il suo backend da quando è stato informato delle vulnerabilità nell’aprile 2021 e gli operatori dovrebbero installare le versioni più recenti del CAS, anche se alcuni dei difetti identificati possono essere risolti solo con aggiornamenti hardware.

E ricordate, se qualcuno riesce a rubare la tua criptovaluta, probabilmente è andata per sempre.

.

Source link