生物识别扫描器中的安全漏洞

关键要点

Kaspersky Lab 发现了 ZkTeco 生物识别扫描器中的六个 CVE 漏洞。漏洞允许攻击者通过伪造 QR 码执行未授权的指令。攻击者能够访问医疗记录及个人信息，造成严重后果。大多数受影响设备为白标产品，更新补丁至关重要。

近期，Kaspersky Lab 的研究人员披露了著名生物识别扫描器品牌中的多项安全漏洞。具体来说，他们揭示了与 ZkTeco 硬件相关的六个 CVE 漏洞条目，这些漏洞主要涉及代码注入缺陷。攻击者通过加载带有命令行代码的 QR 码，使得身份验证中心在没有权限的情况下执行特定指令。

尽管此次研究专注于 ZkTeco，但 Kaspersky 团队指出，这些发现暗示了生物识别和身份验证硬件中更广泛存在严重安全漏洞的可能性。

外网免费节点加速

“生物识别扫描器提供了一种独特的方式来解决安全性与可用性之间的冲突，”研究人员表示。“它们通过用户独特的生物特征来识别身份，这一过程相对可靠，并且无需用户付出额外努力。然而，生物识别扫描器和其他技术一样，也存在其弱点。”

在本案例中，相关缺陷涉及代码注入。实际操作中，攻击者可以创建伪造的 QR 码，借此直接访问设备，并利用受损的硬件进入主数据库，从而对医疗记录和个人信息造成进一步的破坏。

黑客的概念验证加载了一个附加命令的 QR 码，这让攻击者获得通常用户无法访问的权限。一旦设备扫描到这个被篡改的代码，攻击者便可全权访问网络，包括医疗服务提供者的医疗记录数据库。

Kaspersky Labs 的 Georgy Kiguradze 描绘了一幅令人不安的画面，攻击者在合适的条件下可以实现类似“碟中谍”的数据泄露。“如果意图不轨的人获得了设备数据库的访问权限，他们可以利用其他漏洞下载合法用户的照片，打印后欺骗设备的摄像头，从而进入受保护的区域，” Kiguradze 这位高级应用安全专家说道。

更糟的是，Kaspersky 表示，许多包含这些漏洞的生物识别认证设备并没有以特定品牌进行营销，而是作为白标产品出售，贴上其他公司的标签。

针对这些漏洞，相关补丁已发布，建议管理员尽快更新，但这可能并非易事。“这些生物识别读取器广泛应用于核电和化工厂、办公室及医院等多个行业，”Kaspersky 进一步强调道。