分别在瑞士与新加坡设有总部的软件开发商Acronis近日披露,他们在去年进行例行性的网络安全审核时,发现台湾的指纹扫描与监控技术制造商奇偶科技(GeoVision)所生产的设备,含有4个重大的安全漏洞,包括具管理权限的后门密码,重复使用加密密钥,以及外泄私密密钥等,将允许黑客窃走用户指纹。根据TWCERT的公告,迄今奇偶科技已经修补了其中3个安全漏洞,但截至6月26日,仍遗留一个允许黑客重现设备协议与命令的重大漏洞尚未修补。
奇偶科技是台湾数字监控系统的领导企业,也是台湾的上市公司,所开发的产品包括图片监控系统、监控系统、图片管理软件、门禁控制系统及车牌识别系统等,并以GeoVision品牌营销全球市场。
根据Acronis的调查,已被修补的3个漏洞分别是CVE-2020-3928、CVE-2020-3929与CVE-2020-3930,它们藏身于指纹扫描仪、门禁卡扫描仪,以及门禁管理设备上,且至少有6款型号受到波及,这些设备已被销售到台湾、美国、巴西、德国与日本等。
台湾计算机网络危机处理暨协调中心(TWCERT)也公布了这3个安全漏洞,指出CVE-2020-3928是奇偶的门禁控制设备内置固定的Root密码,所有设备都采用同一组密码且无法更改;CVE-2020-3929则是在门禁控制设备上,使用同一组密钥进行SSH与HTTPS连接,让取得该密钥的黑客可通过中间人攻击解析其流量;CVE-2020-3930则是因门禁控制设备的系统日志没有执行权限保护,而让用户可轻易取得系统日志信息。
Acronis说,虽然TWCERT的公告显示,奇偶已借由更新固件修补了上述漏洞,但奇偶的官网并未陈列最新固件。
而截至6月26日尚未修补的第4个安全漏洞,也是最危险的那个,则是属于缓冲区溢出漏洞,将允许未经授权的黑客执行远程命令。
Acronis表示,有了上述漏洞,黑客不用钥匙卡就能开门,在这些设备上植入木马,可永久进驻受害者网络,或是监控内部的用户,也能窃取指纹或其它数据,而且不会被侦测到。