/ /

Специалисты «Лаборатории Касперского» наши более 20 уязвимостей в биометрическом терминале китайского производителя

Специалисты «Лаборатории Касперского» наши более 20 уязвимостей в биометрическом терминале китайского производителя

11 июня 2024, 16:06    1225

Основная задача биометрических терминалов — обеспечение контроля доступа к определенным зонам или объектам. Так, они могут использоваться для ограничения доступа к помещениям с конфиденциальной информацией, таким как серверные комнаты или кабинеты руководителей. Также биометрические терминалы могут использоваться для контроля доступа на объектах повышенной опасности, таких как атомные электростанции или химические предприятия. Еще одно применение биометрических терминалов — учет рабочего времени сотрудников.

При всех преимуществах у данного оборудования есть недостатки:

  • Достаточно высокая стоимость,
  • Риск некорректной идентификации человека (например, при повреждении отпечатков пальцев),
  • Вопросы приватности
  • Некоторые биометрические методы (например распознавание лиц) могут быть менее эффективны в определенных условиях (при плохом освещении или при наличии маски).

При тестировании устройства китайского производителя ZKTeco, эксперты решили проверить метод аутентификации по QR-коду. При этом в демонстрируемом коде присутствовали некорректные данные, которые потенциально способны нарушить логику его обработки. Достичь результата удалось, показав устройству QR-код с SQL-инъекцией.  А при демонстрации QR-кода с большим количеством данных (от 1 КБ) устройство начало перезагружаться, что может указывать на переполнение в некоторых компонтентах. Таким образом есть риск, что злоумышленники могут внедрить данные в QR-код для доступа в закрытую зону.

В общей сложности во время исследования биометрического терминала производства ZKTeco было выявлено 24 уязвимости:

  • 6 SQL-инъекций;
  • 7 переполнений буфера на стеке;
  • 5 инъекций команд;
  • 4 записи произвольных файлов;
  • 2 чтения произвольных файлов.

Многие из них оказались похожи друг на друга, потому что возникали из-за ошибки в одном месте внутри библиотеки, служащей «оберткой» для базы данных.

Тестировщики уведомили производителя об имеющихся уязвимостях и проблемах безопасности.

Исследование доступно по ссылке.

Фото - https://securelist.ru

Свежее

 Журнал RUБЕЖ  Пожарная безопасность  Транспортная безопасность

Yandex.Дзен

Подписывайтесь на канал ru-bezh.ru
в Яндекс.Дзен

Яндекс.Директ

RUБЕЖ в vk RUБЕЖ на dzen RUБЕЖ на youtube RUБЕЖ в telegram+ RUБЕЖ-RSS

Контакты

Адрес: 121471, г. Москва, Фрунзенская набережная, д. 50, пом. IIIа, комн.1

Тел./ф.: +7 (495) 539-30-20

Время работы: 9:00-18:00, понедельник - пятница

E-mail: info@ru-bezh.ru


Для рекламодателей

E-mail: reklama@ru-bezh.ru

тел.: +7 (495) 539-30-20 (доб. 103)

total time: 0.7115 s
queries: 269 (0.4111 s)
memory: 10 240 kb
source: database
Выделите опечатку и нажмите Ctrl + Enter, чтобы отправить сообщение.