CryptoMonday
Home News Kraken deckt Sicherheitsprobleme bei Bitcoin-Geldautomaten auf

Kraken deckt Sicherheitsprobleme bei Bitcoin-Geldautomaten auf

Daniela Kirova
Daniela Kirova
Daniela Kirova
Autor*in:
Daniela Kirova
Autorin
Die freiberufliche Krypto-Autorin Daniela hat mehr als 15 Jahre Erfahrung im Schreiben und Übersetzen von finanziellen Inhalten. Sie ist Diplom-Psychologin und berichtet ausgiebig über die neuesten Krypto-News und Marktentwicklungen.
30. September 2021

In einem Blog-Beitrag berichtet die Krypto-Firma Kraken über Sicherheitsprobleme mit Software und Hardware bei einem häufig verwendeten Modell von Bitcoin-Geldautomaten. In dem Beitrag heißt es:

Kraken Security Labs hat mehrere Schwachstellen bei der Hardware und Software in einem häufig verwendeten Krypto-Geldautomaten aufgedeckt: General Bytes BATMtwo (GBBATM2). Es wurden mehrere Angriffsvektoren über den standardmäßigen administrativen QR-Code, die Android-Betriebssoftware, das ATM-Verwaltungssystem und sogar das Hardware-Gehäuse des Automaten gefunden.

Passwörter für Geldautomaten unsicher

Für jeden Geldautomaten muss man einen QR-Code als „Administration Key“ einrichten. Dieser Code muss am Geldautomaten gescannt und dann für jeden Automaten separat im Backend-System eingestellt werden. Bei der Überprüfung des Codes stellte Kraken fest, dass er einen einfachen Hash einer Werkseinstellung enthielt. Die Krypto-Firma kaufte mehrere gebrauchte Geldautomaten von verschiedenen Anbietern und stellten fest, dass alle dieselbe Standard-Konfiguration der Schlüssel aufwiesen. Damit kann theoretisch jeder den Geldautomaten übernehmen.

Offenbar ändern die meisten Betreiber der GBBATM2-Automaten den Standard-Code nicht. Jeder QR-Code muss manuell geändert werden. Kraken stellt fest, dass keine Verwaltung der Schlüssel per Fernzugriff möglich ist. Das bedeutet, dass jeder die Adresse des ATM-Verwaltungsservers ändern und den Automaten damit übernehmen kann. Mit anderen Worten kann jeder, der über den Standardcode verfügt, einen BTC-Geldautomaten kompromittieren. Kraken entdeckte auch entscheidende Schwachstellen im Management-System und fehlende sichere Boot-Mechanismen.

Der Hersteller General Bytes hat mittlerweile Aktualisierungen für das Backend-System veröffentlicht. Kraken ist jedoch der Ansicht, dass auch Hardware-Revisionen erforderlich sein könnten.

Tipps vor der Nutzung eines Krypto-Geldautomaten

Kraken gibt auch Tipps für die Nutzung von Krypto-Geldautomaten. So soll man z. B. sicherzustellen, dass der Geldautomat über Kameras und andere Sicherheitsvorkehrungen verfügt. Außerdem sollte man nur Automaten an vertrauenswürdigen Orten verwenden. Diejenigen, die Bitcoin-Automaten besitzen oder betreiben, müssen immer den standardmäßigen QR-Code ändern, die Best Practices des Herstellers befolgen und ihren CAS-Server aktualisieren. Geldautomaten müssen immer an Standorten mit Sicherheitskontrollen stehen.

Nach Angaben von Coin ATM Radar ist General Bytes der zweitgrößte Hersteller von Bitcoin-Automaten mit einem Anteil von knapp 23 % am Weltmarkt. Bis Mitte dieses Jahres ist die Zahl der weltweit installierten Krypto-Geldautomaten um mehr als 70 % auf 24.030 gestiegen. Laut den Daten von Coin ATM Radar war es ein Anstieg um 120 % im Vergleich zum gesamten Jahr 2020. Krypto-Geldautomaten gibt es in 75 Ländern, 21.000 allein in den Vereinigten Staaten (Stand Juli 2021).

Mitwirkende

Daniela Kirova
Autorin
Die freiberufliche Krypto-Autorin Daniela hat mehr als 15 Jahre Erfahrung im Schreiben und Übersetzen von finanziellen Inhalten. Sie ist Diplom-Psychologin und berichtet ausgiebig über die neuesten Krypto-News und Marktentwicklungen.