In einem Blog-Beitrag berichtet die Krypto-Firma Kraken über Sicherheitsprobleme mit Software und Hardware bei einem häufig verwendeten Modell von Bitcoin-Geldautomaten. In dem Beitrag heißt es:
Kraken Security Labs hat mehrere Schwachstellen bei der Hardware und Software in einem häufig verwendeten Krypto-Geldautomaten aufgedeckt: General Bytes BATMtwo (GBBATM2). Es wurden mehrere Angriffsvektoren über den standardmäßigen administrativen QR-Code, die Android-Betriebssoftware, das ATM-Verwaltungssystem und sogar das Hardware-Gehäuse des Automaten gefunden.
Passwörter für Geldautomaten unsicher
Für jeden Geldautomaten muss man einen QR-Code als „Administration Key“ einrichten. Dieser Code muss am Geldautomaten gescannt und dann für jeden Automaten separat im Backend-System eingestellt werden. Bei der Überprüfung des Codes stellte Kraken fest, dass er einen einfachen Hash einer Werkseinstellung enthielt. Die Krypto-Firma kaufte mehrere gebrauchte Geldautomaten von verschiedenen Anbietern und stellten fest, dass alle dieselbe Standard-Konfiguration der Schlüssel aufwiesen. Damit kann theoretisch jeder den Geldautomaten übernehmen.
Offenbar ändern die meisten Betreiber der GBBATM2-Automaten den Standard-Code nicht. Jeder QR-Code muss manuell geändert werden. Kraken stellt fest, dass keine Verwaltung der Schlüssel per Fernzugriff möglich ist. Das bedeutet, dass jeder die Adresse des ATM-Verwaltungsservers ändern und den Automaten damit übernehmen kann. Mit anderen Worten kann jeder, der über den Standardcode verfügt, einen BTC-Geldautomaten kompromittieren. Kraken entdeckte auch entscheidende Schwachstellen im Management-System und fehlende sichere Boot-Mechanismen.
Der Hersteller General Bytes hat mittlerweile Aktualisierungen für das Backend-System veröffentlicht. Kraken ist jedoch der Ansicht, dass auch Hardware-Revisionen erforderlich sein könnten.
Tipps vor der Nutzung eines Krypto-Geldautomaten
Kraken gibt auch Tipps für die Nutzung von Krypto-Geldautomaten. So soll man z. B. sicherzustellen, dass der Geldautomat über Kameras und andere Sicherheitsvorkehrungen verfügt. Außerdem sollte man nur Automaten an vertrauenswürdigen Orten verwenden. Diejenigen, die Bitcoin-Automaten besitzen oder betreiben, müssen immer den standardmäßigen QR-Code ändern, die Best Practices des Herstellers befolgen und ihren CAS-Server aktualisieren. Geldautomaten müssen immer an Standorten mit Sicherheitskontrollen stehen.
Nach Angaben von Coin ATM Radar ist General Bytes der zweitgrößte Hersteller von Bitcoin-Automaten mit einem Anteil von knapp 23 % am Weltmarkt. Bis Mitte dieses Jahres ist die Zahl der weltweit installierten Krypto-Geldautomaten um mehr als 70 % auf 24.030 gestiegen. Laut den Daten von Coin ATM Radar war es ein Anstieg um 120 % im Vergleich zum gesamten Jahr 2020. Krypto-Geldautomaten gibt es in 75 Ländern, 21.000 allein in den Vereinigten Staaten (Stand Juli 2021).