Специалисты «Лаборатории Касперского» наши более 20 уязвимостей в биометрическом терминале китайского производителя

Основная задача биометрических терминалов — обеспечение контроля доступа к определенным зонам или объектам. Так, они могут использоваться для ограничения доступа к помещениям с конфиденциальной информацией, таким как серверные комнаты или кабинеты руководителей. Также биометрические терминалы могут использоваться для контроля доступа на объектах повышенной опасности, таких как атомные электростанции или химические предприятия. Еще одно применение биометрических терминалов — учет рабочего времени сотрудников.

При всех преимуществах у данного оборудования есть недостатки:

Достаточно высокая стоимость,
Риск некорректной идентификации человека (например, при повреждении отпечатков пальцев),
Вопросы приватности
Некоторые биометрические методы (например распознавание лиц) могут быть менее эффективны в определенных условиях (при плохом освещении или при наличии маски).

При тестировании устройства китайского производителя ZKTeco, эксперты решили проверить метод аутентификации по QR-коду. При этом в демонстрируемом коде присутствовали некорректные данные, которые потенциально способны нарушить логику его обработки. Достичь результата удалось, показав устройству QR-код с SQL-инъекцией. А при демонстрации QR-кода с большим количеством данных (от 1 КБ) устройство начало перезагружаться, что может указывать на переполнение в некоторых компонтентах. Таким образом есть риск, что злоумышленники могут внедрить данные в QR-код для доступа в закрытую зону.

В общей сложности во время исследования биометрического терминала производства ZKTeco было выявлено 24 уязвимости: