Kaspersky a découvert 24 vulnérabilités dans les systèmes d'accès biométrique de Chine
JAKARTA - Les experts de Kaspersky Security Assessment ont identifié de nombreuses vulnérabilités dans les terminaux biométriques hybrides produits par le fabricant international ZKTeco.
La société mondiale de cybersécurité a également affirmé avoir fourni un rapport sur cette vulnérabilité à ZKTeco avant qu’elle ne soit finalement partagée au public.
L’appareil prend en charge l’identification faciale et l’authentification de codes QR, ainsi qu’une capacité de stocker des milliers de modèles faciaux. Cependant, Kaspersky a trouvé plusieurs lacunes les rend vulnérables à diverses attaques.
Omniprésent physique par faux code QR
La vulnérabilité de CVE-2023-3938 permet aux cybercriminels de mener des attaques connues sous le nom d’injection de QR. Les attaquants peuvent insérer certaines données dans le code QR utilisé pour accéder à des zones interdites.
En conséquence, ils pourront accéder non autorisé au terminal et accéder physiquement à des zones interdites. Si le faux code QR contient des données dangereuses en quantités excessives, au lieu d’accorder un accès, l’appareil redémarra.
« Si une personne avec une intention malveillante obtient accès à la base de données de l’appareil, elle pourrait exploiter d’autres vulnérabilités pour télécharger des photos d’un utilisateur légitime, les imprimer et les utiliser pour tromper les caméras de l’appareil pour accéder à des espaces sécurisés », a déclaré Georgy Kiguradze, Specialiste en sécurité des applications senior chez Kaspersky.
vol de données biétriques, utilisation de la porte arrière et autres risques
CVE-2023-3940 est une faiblesse de la composante logicielle qui permet une lecture arbitraire des fichiers. Les criminels utilisent cette vulnérabilité pour accéder à n’importe quel fichier dans le système et leur permet de les extraire.
Cela inclut des données utilisateur biétriques sensibles et des hash-monnaies de mots de passe pour nuire davantage à l’identification de l’entreprise. Les auteurs de menaces peuvent non seulement accéder et voler, mais aussi modifier la base de données de lecteurs biétriques à distance en utilisant CVE-2023-3941.
« L’impact des vulnérabilités trouvées est très varié. Les attaquants peuvent vendre des données biométriques volées sur le dark web, faisant des personnes touchées risque accru d’attaques de profonde fake et d’ingénierie sociale avancée », a expliqué Georgy.
En outre, certaines vulnérabilités permettent aux placements de la porte arrière de pénétrer discrètement d’autres réseaux d’entreprise, facilitant ainsi le développement d’attaques avancées, y compris le cyberespionnage ou le sabotage.