某国产生物识别访问系统被爆出24个漏洞

主要观点总结

本文主要介绍了卡巴斯基研究人员对某科技企业生产的生物识别访问系统的安全检查，发现了24个漏洞，包括SQL注入、缓冲区溢出等。这些漏洞使得生物识别系统的高安全性承诺未能实现，攻击者可能利用这些漏洞获取对安全区域的未授权访问。此外，文章还介绍了生物识别终端的优势和缺点，以及卡巴斯基的分析方法和发现漏洞的详细信息。最后，提供了关于如何降低这些风险的建议。

关键观点总结

关键观点1: 生物识别访问系统存在漏洞

卡巴斯基研究人员发现某科技企业生产的生物识别访问系统存在24个漏洞，包括SQL注入、缓冲区溢出等。

关键观点2: 漏洞对生物识别系统的安全性构成威胁

这些漏洞使得生物识别系统的高安全性承诺未能实现，攻击者可能利用这些漏洞获取对安全区域的未授权访问，从而造成数据泄露和系统破坏。

关键观点3: 生物识别终端的优势和缺点

生物识别终端具有高度的准确性、安全性、用户友好性和高效率等优势，但也存在成本高、误识风险、隐私担忧和技术限制等缺点。

关键观点4: 卡巴斯基的分析方法和发现漏洞的详细信息

卡巴斯基通过物理接口分析、网络分析、协议分析、二维码和摄像头分析以及固件分析等方法，发现了生物识别终端存在的多个漏洞，并详细描述了每个漏洞的类型和危害。

关键观点5: 降低风险的建议

为了减少生物识别终端存在的风险，卡巴斯基建议将生物识别读取器的使用限制在单独的网络段中，使用强密码，审核和加强设备的安全设置，减少对二维码功能的依赖，并保持固件更新。

文章预览

卡巴斯基的研究人员检查了由国内某科技企业生产的生物识别访问系统，该系统接受面部扫描、密码、二维码和电子卡作为身份验证方法。不同经销商销售的设备名称可能有所不同。 安全研究人员通过访问系统的拆解，并发现其中存在24处漏洞，这使得该系统通过生物识别技术提供更高安全性的承诺未能实现。卡巴斯基已将发现的所有漏洞和安全问题通知供应商。按照漏洞类型申请了CVE编号：即一类漏洞申请了一个CVE ID。具体如下：CVE-2023-3938、CVE-2023-3939、CVE-2023-3940、CVE-2023-3941、CVE-2023-3942、CVE-2023-3943。卡巴认为，如果 生物识别等先进技术被封装在安全性较差的设备中，这无疑将大大抵消生物识别身份验证的优势。因此，配置不足的终端很容易受到简单攻击，使入侵者很容易破坏组织关键区域的物理安全。 生物识别终端概述 生物识别终端是一种 ………………………………