カスペルスキーは中国の生体認証アクセスシステムの24の脆弱性を発見しました

ジャカルタ - カスペルスキー セキュリティ アセスメントの専門家は、国際的なメーカーZKTeco が製造するハイブリッド生体認証ターミナルの多くの脆弱性を特定しました。

世界的なサイバーセキュリティ企業はまた、この脆弱性に関する報告書を最初にZKTekoに提供し、最終的に一般に共有したと主張しました。

このデバイスは、顔認識とQRコード認証、および何千もの顔のテンプレートを保存する能力をサポートします。ただし、カスペルスキーは、さまざまな攻撃に対して脆弱になるいくつかの抜け穴を発見しました。

偽のQRコードによる物理的なバイパス

CVE-2023-3938の脆弱性により、サイバー犯罪者はSNS注入と呼ばれる攻撃を実行できます。攻撃者は、制限区域にアクセスするために使用されるQRコードに特定のデータを入力できます。

その結果、ターミナルへの不正アクセスと禁止された領域への物理的アクセスを取得する可能性があります。偽のQRコードに過剰な量の悪意のあるデータが含まれている場合、アクセスを許可する代わりに、デバイスが再起動します。

「悪意のある人がデバイスのデータベースにアクセスした場合、他の脆弱性を悪用して、正当なユーザーの写真をダウンロード、印刷、およびそれらを使用してデバイスのカメラをだまして安全な領域にアクセスできるようにすることができます」と、カスペルスキーのシニアアプリセキュリティスペシャリストであるGeorgy Kiguradzeは述べています。

生体認証データの盗難、バックドアの適用、およびその他のリスク

CVE-2023-3940は、ファイルの任意の読み取りを可能にするソフトウェアコンポーネントの欠点です。犯罪者はこの脆弱性を利用して、システム内の任意のファイルにアクセスし、それを抽出することができます。

これには、機密性の高い生体認証ユーザーデータとパスワードハッシュが含まれ、会社の資格情報をさらに危険にさらします。脅威アクターは、CVE-2023-3941を利用して、アクセスして盗むだけでなく、生体認証リーダーデータベースをリモートで変更することもできます。

「見つかった脆弱性の影響は非常に多様です。攻撃者は盗まれた生体認証データをダークウェブ上で販売できるため、影響を受ける個人はディープフェイク攻撃や高度なソーシャルエンジニアリングのリスクが高まります」とGorgy氏は説明します。

さらに、いくつかの脆弱性により、バックドアの配置が他の企業ネットワークに密かに侵入する可能性があり、サイバースパイやサボタージュなどの高度な攻撃の開発が容易になります。