IBM旗下資安團隊X-Force Red的兩名實習生在檢驗了市場上基於Kiosk的五大訪客管理系統之後,揭露了19個安全漏洞,將允許駭客冒領識別證、入侵企業內部網路,或是察看其他的訪客紀錄。

有愈來愈多的企業以互動式的資訊服務站(Kiosk)來管理進出企業的訪客,這些執行訪客管理系統的Kiosk能夠認證訪客並提供識別證。

不過,在X-Force Red實習的Hannah Robbins及Scott Brink卻在市場上的五大訪客管理系統中找出安全漏洞,他們檢驗的系統包括Jolly的Lobby Track Desk、HID Global的EasyLobby Solo、Threshold Security的eVisitorPass、Envoy的Envoy Passport,以及The Receptionist的同名裝置,發現它們分別含有7個、4個、5個、2個及1個安全漏洞。

整體而言,上述漏洞主要涉及資料外洩、權限擴張及取得Kiosk的控制權,有可能會頒發有效的訪客識別證予不明駭客,或是藉由Kiosk入侵企業內部系統,以及取得其他訪客的資料。

X-Force Red團隊建議,這些載入訪客管理系統的Kiosk通常安裝在戶外,由於它們扮演著企業安全的角色,理應於產品開發的生命周期中考慮到安全性,包括系統安全與硬體上的安全。

熱門新聞

Advertisement