Η Kaspersky εντοπίζει 24 ευπάθειες σε κινεζικά βιομετρικά συστήματα πρόσβασης

Related

Οι αθλητικές μεταδόσεις της ημέρας (15/03)

WTA 1000 Indian Wells – Α’/Β’ ΗμιτελικόςΤένις NOVASPORTS 601:00COSMOTE Sport 9Premier Padel Tour Μεξικό, Προημιτελικός ΓυναικώνPadel COSMOTE Sport 901:00COSMOTE Sport 7Μέμφις Γκρίζλις - Κλίβελαντ ΚαβαλίερςNBA COSMOTE Sport 702:00ANΤ1+FP3, Grand Prix ΑυστραλίαςFormula 1 ANΤ1+03:30ANΤ1+Qualifying, Grand Prix ΑυστραλίαςFormula 1 ANΤ1+07:00COSMOTE Sport 6ATP Challenger 50, 1ος Ημιτελικός ΜονούΤένις COSMOTE Sport 610:00COSMOTE Sport 6ATP Challenger 50, 2ος Ημιτελικός ΜονούΤένις

Fintech 2025: Πώς η τεχνολογία αλλάζει τις τραπεζικές συναλλαγές και τις επενδύσεις

Το Fintech επαναπροσδιορίζει τον χρηματοπιστωτικό τομέα, φέρνοντας καινοτομίες όπως AI, blockchain και neobanks, αλλά παράλληλα γεννά προκλήσεις ασφάλειας, απώλειας θέσεων εργασίας και υπερχρέωσης, καθιστώντας τον χρηματοοικονομικό αλφαβητισμό πιο απαραίτητο από ποτέ. Ο χρηματοοικονομικός τομέας βιώνει μια αδιάκοπη τεχνολογική μεταμόρφωση, με την παγκόσμια αγορά Fintech να εκτοξεύεται. Το 2025, η αξία της εκτιμάται ότι θα ξεπεράσει

Το σημερινό (15/3) πρόγραμμα των αθλητικών μεταδόσεων

Δείτε αναλυτικά το σημερινό πρόγραμμα των αθλητικών μεταδόσεων, το οποίο περιλαμβάνει δράση από τα ελληνικά γήπεδα μπάσκετ αλλά και ευρωπαϊκούς αγώνες ποδοσφαίρου. Αναλυτικά: 10:00 COSMOTE SPORT 6 HD ATP Challenger 50 12:00 COSMOTE SPORT 6 HD ATP Challenger 50 13:35 COSMOTE SPORT 5 HD Moto3 Γκραν Πρι Αργεντινής 2ες Ελεύθερες Δοκιμές 14:00 COSMOTE SPORT 6

Οι αθλητικές μεταδόσεις του Σαββάτου

Αναλυτικά όλες οι επιλογές: 01:00 Novasports 6HD WTA 1000 Καλιφόρνια 01:00 COSMOTE SPORT 4 HD Μαϊάμι Χιτ – Μπόστον Σέλτικς NBA 02:00 COSMOTE SPORT 7 HD Μέμφις Γκρίζλις – Κλίβελαντ Καβαλίερς NBA 03:30 ΑΝΤ1+ F1 GP Αυστραλίας – FP3 07:00 ΑΝΤ1+ F1 GP Αυστραλίας – Qualifying 10:00 COSMOTE SPORT 6 HD ATP Challenger 50 12:00

Το FBI προειδοποιεί για το λογισμικό Medusa που παραβιάζει το Gmail και εκβιάζει τα θύματα

Το FBI και η αμερικανική υπηρεσία κυβερνοασφάλειας (CISA) προτρέπουν τους χρήστες δημοφιλών υπηρεσιών ηλεκτρονικού ταχυδρομείου, όπως το Gmail και το Outlook, να είναι σε επιφυλακή για ένα επικίνδυνο και δυνητικά δαπανηρό σύστημα ransomware. Ένα δελτίο που κυκλοφόρησε αυτή την εβδομάδα περιγράφει λεπτομερώς μια προειδοποίηση για τη συμμορία Medusa ransomware, μια ομάδα που είναι ενεργή από

COSMOTE SD WAN Enterprise: Νέα λύση συνδεσιμότητας για μεγάλες επιχειρήσεις με πολλαπλά σημεία παρουσίας

14/03/2025 Εύκολη διαχείριση κίνησης δεδομένων, υψηλό επίπεδο ασφάλειας, βέλτιστη απόδοση δικτύου και εξοικονόμηση κόστους – Εγκατάσταση και πλήρης υποστήριξη της υπηρεσίας 24/7 από την COSMOTE Η COSMOTE εμπλουτίζει το portfolio των λύσεων συνδεσιμότητας SD-WAN (Software – Defined Wide Area Network) που προσφέρει, με τη νέα υπηρεσία COSMOTΕ SD WAN Enterprise για μεγάλες επιχειρήσεις με πολλαπλά

«Χρυσή» η INALAN για την πιο «πράσινη» οπτική ίνα!

Χρυσό Βραβείο απονεμήθηκε στην εταιρεία INALAN στην κατηγορία «Green Telecommunication Service» στην τελετή απονομής βραβείων Green Awards 2025 που πραγματοποιήθηκε με μεγάλη λαμπρότητα στο Sofitel Athens Airport. Η διάκριση αυτή σηματοδοτεί μια σημαντική αναγνώριση για τη στρατηγική βιωσιμότητας και τις υπεύθυνες περιβαλλοντικές πρακτικές που ακολουθεί η εταιρεία. Το βραβείο αυτό, συγκαταλέγεται ανάμεσα στις πιο αξιόλογες διακρίσεις στον τομέα της

Αθλητικές μεταδόσεις: Πού θα δείτε το ντέρμπι Ολυμπιακός – Παναθηναϊκός AKTOR για την Ευρωλίγκα

Δείτε το αναλυτικό πρόγραμμα με τις αθλητικές μεταδόσεις της Παρασκευής (14/3), με το ντέρμπι Ολυμπιακός – Παναθηναϊκός AKTOR να ξεχωρίζει. Επιλογές για όλα τα γούστα περιλαμβάνει το σημερινό πρόγραμμα με τις αθλητικές μεταδόσεις. Φυσικά, αυτό που ξεχωρίζει είναι το μεγάλο ντέρμπι της Euroleague στο ΣΕΦ. Ολυμπιακός εναντίον Παναθηναϊκού AKTOR, λοιπόν, με τους Πειραιώτες να έχουν ουσιαστικά

14 Μαρτίου – Οι αθλητικές μεταδόσεις της ημέρας

13:55 COSMOTE SPORT 5 HD Moto3 2025 Γκραν Πρι Αργεντινής (1ες Ελεύθερες Δοκιμές) 14:45 COSMOTE SPORT 5 HD Moto2 2025   Γκραν Πρι Αργεντινής (1ες Ελεύθερες Δοκιμές) 15:40 COSMOTE SPORT 5 HD MotoGP 2025 Γκραν Πρι Αργεντινής (1ες Ελεύθερες Δοκιμές) 18:10 COSMOTE SPORT 5 HD Moto3 2025 Γκραν Πρι Αργεντινής (Δοκιμές) 19:00 COSMOTE SPORT 5

Απλά Ψηφιακά 166: Όλα όσα θέλετε να μάθετε για MWC, Cosmote, FTTH και NVidia

Τις εξελίξεις στην διεθνή έκθεση τεχνολογίας της Βαρκελώνης, το MWC 2025, τα σχέδια αποχαλκοποίησης της χώρας και το οικοσύστημα καινοτομίας που όλο και διευρύνεται συζήτησαν ο Δημήτρης Μαλλάς και η Νίκη Παπάζογλου σε αυτό το επεισόδιο του Απλά Ψηφιακά, που εκτάκτως δεν είχε καλεσμένο. Νίκη και Δημήτρης αναφέρθηκαν στα νέα μοντέλα smartphones και laptops που

Τον Απρίλιο ενεργοποιείται το Kids Wallet – Πώς θα γίνεται η ταυτοποίηση των παιδιών

Από τις πρώτες χώρες, πανευρωπαϊκά, που έχει παρουσιάσει μια...

Τα ντέρμπι Φιορεντίνα-Γιουβέντους, Αταλάντα-Ίντερ & Σέλτικ-Ρέιντζερς και το MotoGP στην COSMOTE TV

Πλούσιο αθλητικό θέαμα έρχεται την εβδομάδα 14-20/3 στην COSMOTE TV. Ξεχωρίζουν τα ντέρμπι Φιορεντίνα-Γιουβέντους (16/3, 19.00, COSMOTE SPORT 2HD & COSMOTE SPORT 4K) και Αταλάντα-Ίντερ (16/3, 21.45, COSMOTE SPORT 2HD) για την 29η αγωνιστική της Serie A, καθώς και το «Old Firm» ανάμεσα σε Σέλτικ και Ρέιντζερς (16/3, 14.30, COSMOTE SPORT 3HD) για την 30η

Η αιχμή της τεχνολογίας στην Πολιτική Προστασία: Η Nova ICT αναλαμβάνει να υλοποιήσει το Εθνικό Σύστημα Διαχείρισης Κρίσεων και Εθνικής Βάσης Δεδομένων

Υπογράφηκε την Τετάρτη 12 Μαρτίου στο Υπουργείο Κλιματικής Κρίσης και Πολιτικής Προστασίας, παρουσία του Υπουργού κ. Βασίλη Κικίλια, η σύμβαση του Εθνικού Συστήματος Διαχείρισης Κρίσεων και Εθνικής Βάσης Δεδομένων. Στην εκδήλωση παρέστη ο Υφυπουργός Κλιματικής Κρίσης και Πολιτικής Προστασίας, κ. Ευάγγελος Τουρνάς, ο υποδιοικητής του ΕΣΚΕΔΙΚ, Αρχιπύραρχος κ. Αναστάσιος Μιχαλόπουλος, ο Διευθύνων Σύμβουλος της Κοινωνίας

LIVE: Ολυμπιακός – Μπόντο Γκλιμτ

tanea.gr | Ταυτότητα Διαχειριστής - Διευθυντής: Λευτέρης Θ. Χαραλαμπόπουλος Διευθύντρια Σύνταξης: Αργυρώ Τσατσούλη Ιδιοκτησία - Δικαιούχος domain name: ALTER EGO MEDIA A.E. Νόμιμος Εκπρόσωπος: Ιωάννης Βρέντζος Έδρα - Γραφεία: Λεωφόρος Συγγρού αρ 340, Καλλιθέα, ΤΚ 17673 ΑΦΜ: 800745939, ΔΟΥ: ΦΑΕ ΠΕΙΡΑΙΑ Ηλεκτρονική διεύθυνση Επικοινωνίας: taneagr@alteregomedia.org, Τηλ. Επικοινωνίας: 2107547007

Συνδρομη Cosmote TV + Novasports Full Pack απο τον λογαριασμο μου! Τσεκαρετε info!

Αγγελίες Διάφορα Διάφορα Καλησπερα! Εχω το Full Pack της Cosmote TV μαζι με τα Novasports (πληρες αθλητικο πακετο)! Μπορω να κανω Share την συνδρομη με οποιον ενδιαφερετε διοτι μπορουμε να βλεπουμε ταυτοχρονα και οι 2 αθλητικο περιεχομενο! Η τιμη που το δινω ειναι 20Ε/μηνα αλλα το λιγοτερο που μπορω να το δωσω γιατι δεν θελω

Share

Η Kaspersky έχει εντοπίσει πολλά ελαττώματα στο υβριδικό βιομετρικό τερματικό που παράγεται από τον διεθνή κατασκευαστή ZKTeco.

Προσθέτοντας τυχαία δεδομένα χρήστη στη βάση δεδομένων ή χρησιμοποιώντας έναν ψεύτικο κωδικό QR, ένας κακόβουλος φορέας μπορεί εύκολα να παρακάμψει τη διαδικασία επαλήθευσης και να αποκτήσει μη εξουσιοδοτημένη πρόσβαση. Οι επιτιθέμενοι μπορούν επίσης να κλέψουν και να διαρρεύσουν βιομετρικά δεδομένα, να χειριστούν συσκευές εξ αποστάσεως και να αναπτύξουν κερκόπορτες. Οι εγκαταστάσεις υψηλής ασφάλειας παγκοσμίως κινδυνεύουν εάν χρησιμοποιούν αυτήν την ευάλωτη συσκευή. 

Τα ελαττώματα ανακαλύφθηκαν κατά τη διάρκεια της έρευνας των ειδικών του Kaspersky Security Assessment σχετικά με το λογισμικό και το hardware των white-label συσκευών της ZKTeco. Όλα τα ευρήματα κοινοποιήθηκαν προληπτικά στον κατασκευαστή πριν από τη δημόσια αποκάλυψη.

Οι εν λόγω βιομετρικοί αναγνώστες χρησιμοποιούνται ευρέως σε διάφορους τομείς – από πυρηνικά ή χημικά εργοστάσια έως γραφεία και νοσοκομεία. Αυτές οι συσκευές υποστηρίζουν αναγνώριση προσώπου και έλεγχο ταυτότητας κωδικού QR, μαζί με τη δυνατότητα αποθήκευσης χιλιάδων προτύπων προσώπου. Ωστόσο, τα τρωτά σημεία που ανακαλύφθηκαν πρόσφατα τα εκθέτουν σε διάφορες επιθέσεις. Η Kaspersky ομαδοποίησε τα ελαττώματα με βάση τις απαιτούμενες ενημερώσεις κώδικα και τα καταχώρησε σε συγκεκριμένα CVE (Common Vulnerabilities and Exposures). 

Φυσική παράκαμψη μέσω ψεύτικου κωδικού QR

Η ευπάθεια CVE-2023-3938 επιτρέπει στους εγκληματίες του κυβερνοχώρου να εκτελούν μια κυβερνοεπίθεση γνωστή ως έγχυση SQL, η οποία περιλαμβάνει την εισαγωγή κακόβουλου κώδικα σε συμβολοσειρές που αποστέλλονται στη βάση δεδομένων ενός τερματικού. Οι επιτιθέμενοι μπορούν να εισάγουν συγκεκριμένα δεδομένα στον κωδικό QR που χρησιμοποιείται για την πρόσβαση σε ζώνες περιορισμένης πρόσβασης. Κατά συνέπεια, μπορούν να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση στον τερματικό σταθμό και φυσική πρόσβαση στις ζώνες περιορισμένης πρόσβασης.

Όταν ο τερματικός επεξεργάζεται ένα αίτημα που περιέχει αυτόν τον τύπο κακόβουλου κωδικού QR, η βάση δεδομένων αναγνωρίζει εσφαλμένα ότι προέρχεται από τον πιο πρόσφατα εξουσιοδοτημένο νόμιμο χρήστη. Εάν ο ψεύτικος κωδικός QR περιέχει υπερβολικό όγκο κακόβουλων δεδομένων, αντί να παραχωρήσει πρόσβαση, γίνεται επανεκκίνηση της συσκευής.

«Εκτός από την αντικατάσταση του κωδικού QR, υπάρχει ένας άλλος ενδιαφέρων φορέας φυσικής επίθεσης. Εάν κάποιος με κακόβουλη πρόθεση αποκτήσει πρόσβαση στη βάση δεδομένων της συσκευής, μπορεί να εκμεταλλευτεί άλλες ευπάθειες για να κατεβάσει τη φωτογραφία ενός νόμιμου χρήστη, να την εκτυπώσει και να τη χρησιμοποιήσει για να εξαπατήσει την κάμερα της συσκευής για να αποκτήσει πρόσβαση σε μια ασφαλισμένη περιοχή. Αυτή η μέθοδος, φυσικά, έχει ορισμένους περιορισμούς. Απαιτεί εκτυπωμένη φωτογραφία και η ανίχνευση θερμότητας πρέπει να είναι απενεργοποιημένη. Ωστόσο, εξακολουθεί να αποτελεί σημαντική δυνητική απειλή», δήλωσε ο Georgy Kiguradze, Senior Application Security Specialist της Kaspersky.

Κλοπή βιομετρικών δεδομένων, ανάπτυξη κερκόπορτας και άλλοι κίνδυνοι

Τα CVE-2023-3940 είναι ελαττώματα σε ένα στοιχείο λογισμικού που επιτρέπουν την αυθαίρετη ανάγνωση αρχείων. Η εκμετάλλευση αυτών των ευπαθειών παρέχει σε έναν πιθανό εισβολέα πρόσβαση σε οποιοδήποτε αρχείο του συστήματος και του επιτρέπει να το εξαγάγει. Αυτό περιλαμβάνει ευαίσθητα βιομετρικά δεδομένα χρήστη και κατακερματισμούς κωδικών πρόσβασης για περαιτέρω παραβίαση των εταιρικών διαπιστευτηρίων. Ομοίως, το CVE-2023-3942 παρέχει έναν άλλο τρόπο ανάκτησης ευαίσθητων πληροφοριών χρήστη και συστήματος από τις βάσεις δεδομένων των συσκευών βιομετρίας – μέσω επιθέσεων έγχυσης SQL. 

Οι φορείς απειλής μπορούν όχι μόνο να έχουν πρόσβαση και να κλέβουν, αλλά και να τροποποιούν εξ αποστάσεως τη βάση δεδομένων ενός βιομετρικού αναγνώστη εκμεταλλευόμενοι το CVE-2023-3941. Αυτή η ομάδα ευπαθειών προέρχεται από ακατάλληλη επαλήθευση της εισόδου χρήστη σε πολλά στοιχεία του συστήματος. Η εκμετάλλευσή του επιτρέπει στους επιτιθέμενους να ανεβάζουν τα δικά τους δεδομένα, όπως φωτογραφίες, προσθέτοντας έτσι μη εξουσιοδοτημένα άτομα στη βάση δεδομένων. Αυτό θα μπορούσε να τους επιτρέψει να παρακάμψουν κρυφά τουρνικέ ή πόρτες. Ένα άλλο κρίσιμο χαρακτηριστικό αυτής της ευπάθειας επιτρέπει στους δράστες να αντικαταστήσουν εκτελέσιμα αρχεία, δημιουργώντας ενδεχομένως μια κερκόπορτα.

Η επιτυχής εκμετάλλευση δύο άλλων ομάδων νέων ελαττωμάτων – CVE-2023-3939 και CVE-2023-3943 – επιτρέπει την εκτέλεση αυθαίρετων εντολών ή κώδικα στη συσκευή, παρέχοντας στον εισβολέα πλήρη έλεγχο με το υψηλότερο επίπεδο προνομίων. Αυτό επιτρέπει στον φορέα απειλής να χειραγωγήσει τη λειτουργία της συσκευής, αξιοποιώντας την για να ξεκινήσει επιθέσεις σε άλλους κόμβους δικτύου και να επεκτείνει το αδίκημα σε μια ευρύτερη εταιρική υποδομή.

«Ο αντίκτυπος των τρωτών σημείων που ανακαλύφθηκαν είναι ανησυχητικά ευρύς. Αρχικά, οι επιτιθέμενοι μπορούν να πουλήσουν κλεμμένα βιομετρικά δεδομένα στο dark web, υποβάλλοντας τα επηρεαζόμενα άτομα σε αυξημένους κινδύνους deepfake και εξελιγμένων επιθέσεων κοινωνικής μηχανικής. Επιπλέον, η δυνατότητα τροποποίησης της βάσης δεδομένων οπλοποιεί τον αρχικό σκοπό των συσκευών ελέγχου πρόσβασης, ενδεχομένως παρέχοντας πρόσβαση σε κακόβουλους φορείς σε περιοχές περιορισμένης πρόσβασης. Τέλος, ορισμένα τρωτά σημεία επιτρέπουν την τοποθέτηση μιας κερκόπορτας για να διεισδύσει κρυφά σε άλλα επιχειρηματικά δίκτυα, διευκολύνοντας την ανάπτυξη εξελιγμένων επιθέσεων, συμπεριλαμβανομένης της κυβερνοκατασκοπείας ή του σαμποτάζ. Όλοι αυτοί οι παράγοντες υπογραμμίζουν τον επείγοντα χαρακτήρα της επιδιόρθωσης αυτών των τρωτών σημείων και του διεξοδικού ελέγχου των ρυθμίσεων ασφαλείας της συσκευής για όσους χρησιμοποιούν τις συσκευές σε εταιρικούς τομείς», εξηγεί ο Georgy Kiguradze.

Κατά τη στιγμή της δημοσίευσης των πληροφοριών ευπάθειας, η Kaspersky δεν διαθέτει προσβάσιμα δεδομένα σχετικά με το αν έχουν εκδοθεί οι ενημερώσεις κώδικα.

Για να αποτρέψετε σχετικές ψηφιακές επιθέσεις, εκτός από την εγκατάσταση της ενημερωμένης έκδοσης κώδικα, η Kaspersky συμβουλεύει να ακολουθήσετε τα επόμενα βήματα:

  • Απομονώστε τη χρήση βιομετρικών αναγνωστών σε ξεχωριστό τμήμα δικτύου.
  • Χρησιμοποιήστε ισχυρούς κωδικούς πρόσβασης διαχειριστή, αλλάζοντας τους προεπιλεγμένους κωδικούς.
  • Ελέγξτε και ενισχύστε τις ρυθμίσεις ασφαλείας της συσκευής, ενισχύοντας τις αδύναμες προεπιλογές. Εξετάστε το ενδεχόμενο να ενεργοποιήσετε ή να προσθέσετε ανίχνευση θερμότητας για να αποφύγετε την εξουσιοδότηση χρησιμοποιώντας μια τυχαία φωτογραφία. 
  • Ελαχιστοποιήστε τη χρήση της λειτουργικότητας QR-code, εάν είναι εφικτό.
  • Ενημερώνετε τακτικά το υλικολογισμικό.

Για περισσότερες πληροφορίες επισκεφτείτε το Securelist.com.