雅加达 - 卡巴斯基安全评估专家已经确定了国际制造商ZKTeco生产的混合生物识别终端中的许多漏洞。
这家全球网络安全公司还声称,它已提前向ZKTeco提交了有关此漏洞的报告,然后最终向公众分享。
该设备支持面部识别和QR码身份验证,以及存储数千个面部模板的能力。然而,卡巴斯基发现了一些漏洞,使他们容易受到各种攻击。
通过虚假QR码的物理绕过
CVE-2023-3938脆弱性允许网络犯罪分子进行称为SQL注射的攻击。攻击者可以将特定数据输入用于访问禁区的QR码。
因此,他们可能会未经授权访问航站楼并实际访问禁区。如果虚假QR码包含大量恶意数据,而不是提供访问,则设备将重新启动。
「如果有邪恶意图的人访问设备数据库,他们可以利用其他漏洞下载有效用户的照片,打印它们,并使用它们来欺骗设备摄像头以访问安全区域,”卡巴斯基高级应用安全专家Georgy Kiguradze说。
生物识别数据盗用、后门应用、其他风险
CVE-2023-3940 是软件组件的一个弱点,允许随意阅读文件。犯罪分子利用此漏洞访问系统中的任何文件,并允许他们将其引入。
这包括敏感生物识别用户数据和密码哈希,以进一步危及公司的凭据。威胁行为者不仅可以访问和窃取,还可以利用CVE-2023-3941从远程更改生物识别读者数据库。
乔治解释说:“发现的漏洞的影响非常多样化。攻击者可以在暗网上销售被盗的生物识别数据,从而使受影响的个人体验Deepfakes攻击和先进社交工程的风险增加。
此外,一些漏洞允许后门放置秘密渗透到其他公司的网络,从而促进高级攻击的发展,包括网络间谍或破坏。
The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)