Исследовательское подразделение криптобиржи Kraken сообщило, что широко используемая модель биткоин-банкоматов BATM имеет несколько серьезных программных и аппаратных уязвимостей.
Ошибки найдены в устройствах The General Bytes BATMtwo (GBBATM2) от компании General Bytes. Они связаны с QR-кодами, программным обеспечением Android, системой управления банкоматом и даже с корпусом устройства.
Как сообщили исследователи, большое количество банкоматов используют один и тот же созданный по умолчанию QR-код администратора, так как администраторы не заботятся о его замене. Поэтому любой, кто получит такой QR-код, сможет получить полный системный доступ ко множеству банкоматов.
Также корпус банкомата имеет внутри только один общий отсек, который защищен лишь небольшим замком. Взлом этого замка обеспечивает прямой доступ ко всем внутренним компонентам и к кассе. Банкомат не имеет локальной или серверной сигнализации, поэтому у злоумышленника достаточно времени, чтобы взломать кассу, встроенный компьютер, веб-камеру или сканер отпечатков пальцев.
Исследователи не довольны и операционной системой Android.
«Мы обнаружили, что просто подключив USB-клавиатуру к BATMtwo, можно получить прямой доступ к полному интерфейсу Android, что позволяет любому устанавливать приложения, копировать файлы или выполнять другие вредоносные действия (например, отправлять приватные ключи). Android поддерживает специальный «режим киоска», который блокирует пользовательский интерфейс в рамках использования только одного приложения, что может помешать злоумышленнику получить доступ к другим областям программного обеспечения. Но на банкоматах этот режим не включен», — говорят исследователи.
Кроме этого, процессор банкомата не имеет функции безопасной загрузки, поэтому его можно перепрограммировать, лишь подключив USB-кабель к порту на несущей плате. Но и это не все — программа bootloader постоянно разблокирована, поэтому чтобы получить привилегированный доступ к программе-загрузчику, достаточно подключения последовательного адаптера к порту UART.
По словам Kraken, компания General Bytes приняла во внимание результаты исследования и произвела некоторые исправления, но для остальных потребуется доработка аппаратной части банкоматов.
По данным Coin ATM Radar, чешская компания General Bytes является вторым по величине производителем биткоин-банкоматов, на долю которого приходится 22,7% мирового рынка (6391 устройств). Большинство этих банкоматов расположены в США и Канаде (около 5300), в Европе установлено 824 банкомата.