Um dos modelos de ATM Bitcoin mais populares do mundo, o BATMtwo (BATM2), da empresa General Bytes, possui várias vulnerabilidades de segurança ou vetores de ataque que podem ser explorados.
De acordo com relatório da Kraken, uma das lacunas de segurança mais preocupantes desses caixas eletrônicos é que a configuração dos equipamentos pode ser acessada por meio de um QR Code “mestre”.
Por meio deste QR Code, os invasores podem ter acesso às permissões de administrador. Assim, conseguem assumir o controle do caixa eletrônico. Em seguida, podem conectá-lo a um servidor malicioso para roubar as criptomoedas depositadas pelos usuários.
Além disso, o relatório aponta que o dispositivo pode ser aberto sem que um detector registre isso no computador local.
Isso permitiria que um invasor com a chave física do ATM abrisse a porta e inserisse um dispositivo USB que se conecta sem fio a um teclado e mouse. Dessa forma, o invasor assumiria o controle do ATM e seu funcionamento.
Com o acesso completo ao ATM, o invasor pode instalar aplicativos ou software conforme sua conveniência.
Além disso, o hardware inclui duas chaves que permitem iniciar o ATM no modo de programação. Ou seja, permite a modificação do sistema operacional.
A falha seria tão grande que, de posse do QR Code mestre, o invasor poderia inclusive acessar o software e fazer alterações antes mesmo que o caixa eletrônico saia da fábrica.
Ademais, foram encontrados problemas no servidor web do software. Essas falhas permitem a criação de perfis de administrador e usuário sem qualquer tipo de validação de credencial.
Assim, caso este usuário tenha sua sessão aberta em um desses caixas eletrônicos, ele poderá acessar os dados dos demais usuários, bem como as criptomoedas depositadas.
Segundo o CoinATMRadar, a General Bytes possui 6.383 ATMs para Bitcoin e outras criptomoedas. Seus dois modelos disponíveis, BATM2 e BATM3, têm características semelhantes. Portanto, são vulneráveis às falhas relatadas.
Luciano Rodrigues
