卡巴斯基在中国的生物识别接入系统中发现了24个漏洞
雅加达 - 卡巴斯基安全评估专家已经确定了国际制造商ZKTeco生产的混合生物识别终端中的许多漏洞。
这家全球网络安全公司还声称,它已提前向ZKTeco提交了有关此漏洞的报告,然后最终向公众分享。
该设备支持面部识别和QR码身份验证,以及存储数千个面部模板的能力。然而,卡巴斯基发现了一些漏洞,使他们容易受到各种攻击。
通过虚假QR码的物理绕过
CVE-2023-3938脆弱性允许网络犯罪分子进行称为SQL注射的攻击。攻击者可以将特定数据输入用于访问禁区的QR码。
因此,他们可能会未经授权访问航站楼并实际访问禁区。如果虚假QR码包含大量恶意数据,而不是提供访问,则设备将重新启动。
「如果有邪恶意图的人访问设备数据库,他们可以利用其他漏洞下载有效用户的照片,打印它们,并使用它们来欺骗设备摄像头以访问安全区域,”卡巴斯基高级应用安全专家Georgy Kiguradze说。
生物识别数据盗用、后门应用、其他风险
CVE-2023-3940 是软件组件的一个弱点,允许随意阅读文件。犯罪分子利用此漏洞访问系统中的任何文件,并允许他们将其引入。
这包括敏感生物识别用户数据和密码哈希,以进一步危及公司的凭据。威胁行为者不仅可以访问和窃取,还可以利用CVE-2023-3941从远程更改生物识别读者数据库。
乔治解释说:“发现的漏洞的影响非常多样化。攻击者可以在暗网上销售被盗的生物识别数据,从而使受影响的个人体验Deepfakes攻击和先进社交工程的风险增加。
此外,一些漏洞允许后门放置秘密渗透到其他公司的网络,从而促进高级攻击的发展,包括网络间谍或破坏。