"Лаборатория Касперского" нашла уязвимости в популярном биометрическом терминале от китайского производителя ZKTeco, которые могут позволить преступникам физически проникать в запретные зоны или красть биометрию, сообщили ТАСС специалисты компании. ZKTeco работает и в России, а за рубежом у него сеть крупных клиентов — от сетей быстрого питания до автопроизводителей и логистов.
Всего обнаружено 24 уязвимости. Одна из них, к примеру, позволяет получить доступ к конфиденциальным биометрическим данным пользователей и зашифрованным паролям. В дальнейшем это может привести к компрометации корпоративных учетных данных. В то же время "Лаборатория Касперского" отмечает, что интерпретация украденной биометрии остается сложной задачей для преступников.
Другие уязвимости дают возможность изменять базу данных биометрического считывателя. "Лаборатория Касперского" приводит в пример загрузку туда собственных фотографий — это позволит несанкционированно добавляться в список авторизованных пользователей и проходить через турникеты или двери. "Также эта группа уязвимостей позволяет заменять исполняемые файлы, что потенциально делает возможным создание бэкдора (лазейки для несанкционированного доступа — прим. ТАСС)", — предупредили специалисты.
Есть и другие уязвимости, напоминающие эти — они позволяют получать физический доступ в запретные зоны путем внедрения данных в QR-код. Злоумышленники могут внедрить в него свою информацию и база данных ошибочно идентифицирует вредоносный QR-код как исходящий от последнего авторизованного легитимного пользователя. "Лаборатория Касперского" отмечает, что это далеко не все уязвимости.
В компании уточнили ТАСС, что передали ZKTeco всю информацию о найденных уязвимостях. На данный момент производитель никак не прокомментировал это. Продукция ZKTeco в России распространяется через сеть магазинов-партнеров в 17 городах, указано на сайте производителя. Иностранные партнеры и клиенты — McDonald's, KFC, Nestle, Nike, Adidas, Toyota, Mercedes-Benz, Samsung, DHL и другие.