Η Kaspersky προειδοποιεί για τα biometrics

Η Kaspersky έχει εντοπίσει πολλά ελαττώματα στο υβριδικό βιομετρικό τερματικό που παράγεται από τον διεθνή κατασκευαστή ZKTeco. Προσθέτοντας τυχαία δεδομένα χρήστη στη βάση δεδομένων ή χρησιμοποιώντας έναν ψεύτικο κωδικό QR, ένας κακόβουλος φορέας μπορεί εύκολα να παρακάμψει τη διαδικασία επαλήθευσης και να αποκτήσει μη εξουσιοδοτημένη πρόσβαση. Οι επιτιθέμενοι μπορούν επίσης να κλέψουν και να διαρρεύσουν βιομετρικά δεδομένα και να χειριστούν συσκευές εξ αποστάσεως. Οι εγκαταστάσεις υψηλής ασφάλειας παγκοσμίως κινδυνεύουν εάν χρησιμοποιούν αυτήν την ευάλωτη συσκευή. Τα ελαττώματα ανακαλύφθηκαν κατά τη διάρκεια της έρευνας των ειδικών του Kaspersky Security Assessment σχετικά με το λογισμικό και το hardware των white-label συσκευών της ZKTeco.

Οι εν λόγω βιομετρικοί αναγνώστες χρησιμοποιούνται ευρέως σε διάφορους τομείς – από πυρηνικά ή χημικά εργοστάσια έως γραφεία και νοσοκομεία. Αυτές οι συσκευές υποστηρίζουν αναγνώριση προσώπου και έλεγχο ταυτότητας κωδικού QR, μαζί με τη δυνατότητα αποθήκευσης χιλιάδων προτύπων προσώπου. Ωστόσο, τα τρωτά σημεία που ανακαλύφθηκαν πρόσφατα τα εκθέτουν σε διάφορες επιθέσεις. Για την αποφυγή σχετικών ψηφιακών επιθέσεων, εκτός από την εγκατάσταση της ενημερωμένης έκδοσης κώδικα, η Kaspersky συμβουλεύει να ακολουθήσετε τα εξής βήματα:

• Απομονώστε τη χρήση βιομετρικών αναγνωστών σε ξεχωριστό τμήμα δικτύου.

• Χρησιμοποιήστε ισχυρούς κωδικούς πρόσβασης διαχειριστή, αλλάζοντας τους προεπιλεγμένους κωδικούς.

• Ελέγξτε και ενισχύστε τις ρυθμίσεις ασφαλείας της συσκευής, ενισχύοντας τις αδύναμες προεπιλογές. Εξετάστε το ενδεχόμενο να ενεργοποιήσετε ή να προσθέσετε ανίχνευση θερμότητας για να αποφύγετε την εξουσιοδότηση, χρησιμοποιώντας μια τυχαία φωτογραφία.

• Ελαχιστοποιήστε τη χρήση της λειτουργικότητας QR code, εάν είναι εφικτό.

• Ενημερώνετε τακτικά το υλικολογισμικό.

ΤΕΥΧΟΣ 528