Kraken Security Labs đã nói rằng “một số lượng lớn” các máy ATM Bitcoin dễ bị hack vì các quản trị viên không bao giờ thay đổi mã QR quản trị mặc định.
Trong một bài đăng trên blog vào ngày 29 tháng 9, Kraken đã đăng nghiên cứu từ nhóm Phòng thí nghiệm bảo mật của mình cho thấy rằng có “nhiều lỗ hổng phần cứng và phần mềm” trong phạm vi ATM General Bytes BATMTwo.
“Nhiều vectơ tấn công đã được tìm thấy thông qua mã QR quản trị mặc định, phần mềm điều hành Android, hệ thống quản lý ATM và thậm chí cả vỏ phần cứng của máy,” bài đăng viết.
Nhóm bảo mật của Kraken tuyên bố rằng nếu một hacker nắm được mã quản trị, về cơ bản họ có thể “đi đến máy ATM và xâm phạm nó”, đồng thời nêu rõ các vấn đề về việc thiếu cơ chế khởi động an toàn của BATMtwo, cũng như “các lỗ hổng nghiêm trọng” trong hệ thống quản lý của máy ATM. Tuy nhiên, General Bytes đã báo cáo rằng đã cảnh báo chủ sở hữu ATM về các lỗ hổng:
“Phòng thí nghiệm bảo mật Kraken đã báo cáo các lỗ hổng cho General Bytes vào ngày 20 tháng 4 năm 2021, họ đã phát hành các bản vá cho hệ thống phụ trợ (CAS) và cảnh báo cho khách hàng của họ, nhưng các bản sửa lỗi đầy đủ cho một số vấn đề vẫn có thể yêu cầu sửa đổi phần cứng.”
Nhóm nghiên cứu cũng phát hiện ra rằng họ có thể có toàn quyền truy cập vào hệ điều hành Android đằng sau BATMTwo ATM bằng cách chỉ cần gắn bàn phím USB vào máy và cảnh báo rằng “bất kỳ ai” cũng có thể “cài đặt ứng dụng, sao chép tệp hoặc thực hiện các hoạt động độc hại khác. ”
General Bytes có trụ sở chính tại Cộng hòa Séc và theo Coin ATM Radar, hiện có 6391 máy ATM General Bytes được lắp đặt trên toàn thế giới, chiếm 22,7% thị trường toàn cầu. Tuy nhiên, những con số đó cũng giải thích cho các máy BATMThree không được Kraken báo cáo.
Phần lớn các máy ATM BATM được đặt ở Hoa Kỳ và Canada, với con số tổng hợp được kiểm đếm vào khoảng 5300, trong khi châu Âu có khoảng 824 máy ATM được lắp đặt.
Kraken đang kêu gọi các chủ sở hữu và nhà điều hành BATMTwo thay đổi mã quản trị QR mặc định, cập nhật máy chủ CAS và đặt các máy ATM ở những vị trí dễ nhìn thấy cho camera an ninh.
Theo cointelegraph
