" Поставщик биткойн-банкоматов Lamassu Industries устранил уязвимость в своих биткоин-банкоматах после того, как команда этических хакеров взяла полный контроль над устройствами, подчеркнув некоторые из его недостатков.
В 2023 году исследователи безопасности из IOActive попытались взломать несколько банкоматов, выпущенных Lamassu. Работая над доступом к машинам, исследовательская группа выявила несколько уязвимостей, которые им удалось использовать для получения доступа к банкоматам.
Исследователи безопасности демонстрируют доступ к камере и системе банкомата. Источник: IOActive
Технический директор IOActive Гюнтер Оллман сообщил, что с помощью эксплоита злоумышленники могут «просматривать и манипулировать захваченным банкоматом». Специалист по безопасности объяснил, что хакеры могут украсть BTC из кошелька пользователя через банкомат, используя уязвимости.
«Искушенный злоумышленник при достаточной подготовке может изменить или заменить весь пользовательский интерфейс банкомата и с помощью социальной инженерии заставить пользователя выполнить дополнительные действия», – объяснил Оллман.
Руководитель сказал, что злоумышленник также может обманом заставить пользователя ввести данные своего банковского счета, заманивая его такими предложениями, как бесплатные биткоины или биткоины со скидкой. Однако Оллман также заверил сообщество, что эффект будет ограничен балансом аккаунта пользователя.
«В конечном счете, когда устройство может быть скомпрометировано вплоть до уровня операционной системы, масштаб атаки на пользователя ограничивается только тем, насколько пользователь доверяет устройству или производителю устройства, которое он использует», — добавил он.
Между тем, Габриэль Гонсалес, директор по аппаратной безопасности IOActive, добавил, что эта уязвимость позволяет злоумышленнику, имеющему физический доступ к банкомату, иметь «полный контроль». Гонсалес объяснил, что помимо кражи биткоинов уязвимость также может привести к сливу всех денег в банкомате. Это также может «обмануть считывателя банкнот», заставив отображать большую сумму вносимых денег вместо фактической суммы.
Руководитель также добавил, что банкоматы могли быть атакованы несколькими способами, особенно если их оставлять без присмотра, где бы они ни находились.
Хотя дефект в банкоматах мог иметь серьезные последствия для пользователей, поставщик банкоматов уже внедрил исправление в патче безопасности до того, как уязвимость была раскрыта общественности в 2024 году. Компания проинформировала владельцев банкоматов и призвала их обновить свои биткоин-банкоматы.
