卡巴斯基在中国生物识别访问系统中发现 24 个漏洞，凸显身份验证系统风险

全球关键设施中使用的生物识别终端存在 24 个漏洞，黑客可借此获得未经授权的访问权限、操纵设备、部署恶意软件并窃取生物识别数据。

生物识别安全技术比以往任何时候都更受欢迎，不仅在公共部门（执法部门、国家身份证系统等）得到广泛采用，而且在旅游和个人计算机等商业行业也得到广泛采用。在日本，地铁乘客可以“刷脸支付”，新加坡的移民系统依靠面部扫描和指纹来允许旅行者入境。甚至汉堡店也在尝试使用面部扫描支付账单。

黑客很快找到绕过这些所谓安全系统的方法，有时甚至可以进入系统内部。

卡巴斯基的研究人员发现中国制造商 ZKTeco 生产的混合生物识别终端存在大量漏洞。通过向数据库添加随机用户数据或使用伪造的二维码，恶意攻击者可以轻松绕过验证过程并获得未经授权的访问权限。攻击者还可以窃取和泄露生物识别数据、远程操纵设备并部署后门。如果使用这种易受攻击的设备，全球高安全性设施都将面临风险。

参考卡巴斯基官方链接：https://www.kaspersky.com/about/press-releases/2024_kaspersky-finds-24-vulnerabilities-in-chinese-biometric-access-systems

这些漏洞是在卡巴斯基安全评估专家对 ZKTeco 白标设备软件和硬件进行研究的过程中发现的。所有发现都在公开披露之前主动与制造商分享。

有问题的生物识别读取器广泛用于各个领域——从核电站或化工厂到办公室和医院。这些设备支持人脸识别和二维码身份验证，并能够存储数千个面部模板。然而，新发现的漏洞使它们面临各种攻击。卡巴斯基根据所需补丁对漏洞进行了分组，并将它们注册到特定的 CVE（通用漏洞和暴露）下。

利用 ZKTeco 终端进行攻击可能看起来像任何其他网络攻击，或者可能涉及相当有创意的物理攻击。

通过伪造的二维码进行物理绕过

CVE-2023-3938 漏洞允许网络犯罪分子执行一种称为 SQL 注入的网络攻击，该攻击涉及将恶意代码插入发送到终端数据库的字符串中。攻击者可以将特定数据注入用于访问限制区域的二维码中。因此，他们可以未经授权访问终端并物理访问限制区域。

当终端处理包含此类恶意二维码的请求时，数据库会错误地将其识别为来自最近授权的合法用户。如果假二维码包含过多的恶意数据，设备将重新启动，而不是授予访问权限。

卡巴斯基高级应用安全专家 Georgy Kiguradze 表示：“在用于向设备传输控制命令的二进制协议中发现大量 SQL 注入漏洞，这令人十分震惊。此外，在设备摄像头内嵌入的二维码读取器中也发现了类似的漏洞——人们通常不会想到会在这个位置发现此类漏洞，因为它通常与远程攻击有关。”

“除了替换二维码，还有另一种有趣的物理攻击媒介。如果心怀恶意的人获得了设备数据库的访问权限，他们可以利用其他漏洞下载合法用户的照片，打印出来，并用它来欺骗设备的摄像头，从而获得对安全区域的访问权限。当然，这种方法有一定的局限性。它需要打印的照片，并且必须关闭温度检测。然而，它仍然构成了重大的潜在威胁。”卡巴斯基高级应用安全专家 Georgy Kiguradze 说。

生物特征数据盗窃、后门部署和其他风险

CVE-2023-3940 是软件组件中的漏洞，允许任意文件读取。利用这些漏洞，潜在攻击者可以访问系统上的任何文件并提取文件。这包括敏感的生物识别用户数据和密码哈希，以进一步窃取公司凭证。

CVE-2023-3942 提供了另一种从生物识别设备数据库中检索敏感用户和系统信息的方法——通过 SQL 注入攻击。

攻击者不仅可以访问和窃取，还可以通过利用 CVE-2023-3941 远程更改生物识别读取器的数据库。这组漏洞源于对多个系统组件的用户输入验证不当。利用它，攻击者可以上传自己的数据（例如照片），从而将未经授权的个人添加到数据库中。这可能使他们能够偷偷绕过旋转门或门。此漏洞的另一个关键特性使犯罪者能够替换可执行文件，从而可能创建后门。

成功利用另外两组新漏洞（CVE-2023-3939 和 CVE-2023-3943）可执行设备上的任意命令或代码，从而授予攻击者以最高权限完全控制权。这允许攻击者操纵设备，利用它来对其他网络节点发起攻击，并将攻击范围扩大到更广泛的公司基础设施。

“发现的漏洞影响范围广泛，令人担忧。首先，攻击者可以在暗网上出售窃取的生物特征数据，使受影响的个人面临深度伪造和复杂的社会工程攻击的风险。此外，修改数据库的能力使访问控制设备的原始用途成为武器，可能让不法分子进入禁区。最后，一些漏洞允许放置后门，秘密渗透其他企业网络，促进复杂攻击的发展，包括网络间谍或破坏。所有这些因素都凸显了修补这些漏洞和彻底审核在公司区域使用这些设备的人的设备安全设置的紧迫性。”Georgy Kiguradze 详细阐述道。

确保生物识别系统的安全

生物识别技术通常被认为比典型的身份验证机制更进一步——对于最敏感的设备和最严重的环境来说，这种额外的詹姆斯邦德级别的安全性是必不可少的。

例如，ZKTeco 终端部署在全球各地的核电站、化工厂、医院等场所。它们保护服务器机房、行政套房和敏感设备。上述漏洞可能不适合以经济为目的的网络犯罪分子，但对于意图窃取数据甚至操纵安全关键流程的内部人员或高级国家威胁行为者来说却非常有用。

这些系统部署的环境非常关键，因此各组织必须竭尽全力确保其完整性。而这项工作不仅仅是修补新发现的漏洞。

Kiguradze 建议：“首先，将生物识别读取器隔离在单独的网络段上，以限制潜在的攻击媒介。然后，实施强大的管理员密码并替换所有默认凭据。一般来说，建议对设备的安全设置进行彻底审核并更改所有默认配置，因为它们通常更容易在网络攻击中被利用。”

不确定生物识别技术的组织可以专注于尽可能减少生物识别技术的使用，或确保它们不是唯一的保护措施。关键在于确保这些额外的保护措施对用户不可见。

出路

安全团队面临的根本问题是：如果数据最终以相同的方式存储和保护，生物识别技术是否比其他形式的身份验证更安全？

嗯，是的，大多数情况下，专家都是这么说的。

iProov 创始人兼首席执行官安德鲁·巴德 (Andrew Bud) 表示：“我想澄清一个常见的误解，即生物特征识别就像密码一样，因此，如果被盗或被破解，它就会变得毫无价值。这是一个根本性的概念错误，因为生物特征识别（如面部）并不是秘密。”

他解释道：“密码很好用，因为它是秘密的。但在现代社会，脸部并不是秘密。只要在 LinkedIn 或 Facebook 上看一眼，就能抓取到人们的脸部信息。脸部或任何其他生物特征之所以如此有价值，并不是因为它是机密的，而是因为它是独一无二的。”

实际上，泄露的照片、指纹或生物识别扫描仪的虹膜扫描结果并非世界末日。

人们可能会本能地害怕黑客会持有他们的照片，但真实照片的复制品不应该欺骗当今最先进的识别技术。例如，ZKTeco 终端具有温度检测机制，可以验证身份，防止入侵者使用打印的照片等欺骗面部识别终端。

巴德说，“当你检查一个人的脸时，你可以在场景中引入一些不可预测的东西，这会导致脸部做出与深度伪造或复制品相比独特的反应。”

他补充道：“我们的做法是利用用户设备的屏幕闪现出一系列不可预测的独特色彩，照亮用户的脸部，然后将脸部的视频传输回我们的服务器。光线在人脸上反射的方式，以及反射与环境光相互作用的方式……这是一个非常非常奇特、不寻常且不可预测的挑战，极难伪造。”

他解释说，如果面部识别机制能够抵御复制，“原则上，你就不必依赖收集数据的设备的安全性。事实上，我们从一开始就假设该设备完全不可信。”

不幸的是，有一个警告。与面部、眼睛和指纹等身体特征不同，“检测深度伪造的声音非常困难，甚至不可能， ”巴德说。“声纹中的信息太少了，很难发现假冒信号”——因此，生物识别技术的高级版本才是出路。

新闻链接：

https://www.technologyforyou.org/kaspersky-finds-24-vulnerabilities-in-chinese-biometric-access-systems/

https://www.darkreading.com/vulnerabilities-threats/scores-of-biometrics-bugs-emerge-highlighting-authentication-risks