Een team van ethische hackers heeft een ernstige kwetsbaarheid in de Bitcoin (BTC) geldautomaten van Lamassu Industries aan het licht gebracht, waardoor aanvallers mogelijk ’totale controle’ hadden kunnen krijgen over deze apparaten.
Totale controle over geldautomaten
Deze kwetsbaarheid werd voor het eerst ontdekt in 2023 door beveiligingsonderzoekers van IOActive, die verschillende geldautomaten van Lamassu probeerden te kapen. Tijdens hun onderzoek identificeerden ze meerdere zwakke punten waarmee ze toegang konden krijgen tot de geldautomaten.
Gunter Ollman, de Chief Technology Officer van IOActive, meldde aan Cointelegraph dat aanvallers door deze exploitaties gebruikers’ Bitcoin konden stelen via de geldautomaat. Ze konden zelfs de interacties met de gekaapte geldautomaat bekijken en manipuleren. Ollman legde uit dat een geavanceerde aanvaller de gehele gebruikerservaring van de geldautomaat zou kunnen wijzigen of vervangen en de gebruiker sociaal zou kunnen manipuleren om extra acties uit te voeren, zoals het invoeren van bankgegevens, gelokt door aanbiedingen zoals gratis of afgeprijsde Bitcoin.
Gabriel Gonzalez, de directeur van hardware beveiliging bij IOActive, voegde eraan toe dat de kwetsbaarheid een aanvaller met fysieke toegang tot de geldautomaat ‘volledige controle’ zou kunnen geven. Naast het stelen van Bitcoin, kon de kwetsbaarheid ertoe leiden dat al het geld uit de geldautomaat werd gehaald of dat de biljetlezer werd misleid om een hoger gestort bedrag weer te geven dan het daadwerkelijke bedrag.
Hoewel deze kwetsbaarheid ernstige gevolgen had kunnen hebben voor de gebruikers, heeft Lamassu Industries al een beveiligingspatch uitgerold voordat de kwetsbaarheid in 2024 openbaar werd gemaakt.
Het bedrijf heeft de eigenaren van de geldautomaten geïnformeerd en hen aangespoord hun Bitcoin-geldautomaten bij te werken.
