IBM旗下安全团队X-Force Red的两名实习生在检验了市场上基于Kiosk的五大访客管理系统之后,披露了19个安全漏洞,将允许黑客冒领识别证、入侵企业内部网络,或是查看其他的访客纪录。
有越来越多的企业以交互式的信息服务站(Kiosk)来管理进出企业的访客,这些执行访客管理系统的Kiosk能够认证访客并提供识别证。
不过,在X-Force Red实习的Hannah Robbins及Scott Brink却在市场上的五大访客管理系统中找出安全漏洞,他们检验的系统包括Jolly的Lobby Track Desk、HID Global的EasyLobby Solo、Threshold Security的eVisitorPass、Envoy的Envoy Passport,以及The Receptionist的同名设备,发现它们分别含有7个、4个、5个、2个及1个安全漏洞。
整体而言,上述漏洞主要涉及资料外泄、权限扩张及取得Kiosk的控制权,有可能会颁发有效的访客识别证给不明黑客,或是借由Kiosk入侵企业内部系统,以及取得其他访客的资料。
X-Force Red团队建议,这些加载访客管理系统的Kiosk通常安装在户外,由于它们扮演着企业安全的角色,理应于产品开发的生命周期中考虑到安全性,包括系统安全与硬件上的安全。