X-Force Red在五大访客管理系统发现19个安全漏洞

IBM旗下资安团队X-Force Red的两名实习生在检验了市场上基于Kiosk的五大访客管理系统之后，揭露了19个安全漏洞，将允许骇客冒领识别证、入侵企业内部网络，或是察看其他的访客纪录。

有愈来愈多的企业以互动式的资讯服务站（Kiosk）来管理进出企业的访客，这些执行访客管理系统的Kiosk能够认证访客并提供识别证。

不过，在X-Force Red实习的Hannah Robbins及Scott Brink却在市场上的五大访客管理系统中找出安全漏洞，他们检验的系统包括Jolly的Lobby Track Desk、HID Global的EasyLobby Solo、Threshold Security的eVisitorPass、Envoy的Envoy Passport，以及The Receptionist的同名装置，发现它们分别含有7个、4个、5个、2个及1个安全漏洞。

整体而言，上述漏洞主要涉及资料外泄、权限扩张及取得Kiosk的控制权，有可能会颁发有效的访客识别证予不明骇客，或是借由Kiosk入侵企业内部系统，以及取得其他访客的资料。

X-Force Red团队建议，这些载入访客管理系统的Kiosk通常安装在户外，由于它们扮演着企业安全的角色，理应于产品开发的生命周期中考虑到安全性，包括系统安全与硬件上的安全。