För företagsledare, målet kan vara att hitta en teknikdriven process som kan skydda lokalernas säkerhet och säkerhet, personal och besökare. Besökshanteringssystem kan inte bara utföra incheckningar utan även kontrollera åtkomst till begränsade områden.

"Den vänliga receptionisten eller säkerhetsvakten ersätts av kiosker, och det är stora affärer, med en omsättning som förväntas överstiga 1,3 miljarder dollar år 2025, "sa Daniel Crowley, som leder forskning för IBM X-Force Red. X-Force Red? Är det här tuffa killar? På sätt och vis, ja. Detta är ett team av hackare inom IBM Security. De försöker göra inbrott. Deras arbete är att upptäcka sårbarheter som kriminella angripare kan använda.

Så, om företag kan vara intresserade av att leta efter system för incheckning av besökare, då hade de bäst hittat något som är mer än bara en digital loggbok. Hittar de vad de behöver och är deras val säkra? X-Force Red har luktat något fel. Angripare kan stjäla din data. Angripare kan efterlikna dig.

Inloggningskiosker (portaler på företag och anläggningar) kan vara sårbara för dataspionage. Hotpost var inte försiktig i sitt val av rubrik:"Besökarkiosk Access Systems fylld med buggar."

Två av X-Force Red sommarpraktikanter hittade 19 tidigare okända sårbarheter i fem populära besökarhanteringssystem.

Hotpost bar lite intressant information om vad testmålen var när teamet satte sig för att testa system för besökarhantering.

"Ett, var hur enkelt det är att få checka in som besökare utan någon form av verklig identifierande information. För det andra, vi bestämde oss för att se hur lätt det är att få ut andras information ur systemet. Och för det tredje, finns det ett sätt att en motståndare kan bryta sig ur ansökan, få den att krascha eller få godtycklig kodkörning att köra på den riktade enheten och få fotfäste för att attackera företagsnätverket. "

Crowley rapporterade om fynd i SecurityIntelligence :Information om person- och företagsdata; flera applikationer hade standard administrativa referenser; sårbarheter som tillåter en angripare att använda Windows snabbtangenter och standardhjälp eller skriva ut dialogrutor för att bryta sig ut från kioskmiljön och interagera med Windows, sådan att en angripare skulle ha kontroll över systemet med samma privilegier som programvaran gavs.

Väntar några incidensystemhändelser på att inträffa? Lily Hay Newman in Trådbunden på måndagen tog upp några scenarier som verkade okomplicerade om en person ville göra illvilja. Hon sa att "en hacker enkelt kunde närma sig ett besökarhanteringssystem med ett verktyg som ett USB-minne som är konfigurerat för att automatiskt exfiltrera data eller installera fjärråtkomstskadlig programvara."

Dessutom, "medan snabbare alltid är bättre för en attack, " hon skrev, "Det skulle vara relativt enkelt att stå vid en inloggningskiosk i några minuter utan att locka till någon misstanke."

Trådbunden sa på måndagen att de brister de två hittade mestadels var lappade.

"Det här var en slags skrapa på ytan, "Sa Crowley in Trådbunden. Om buggarna sågs på bara några veckor, han lade till, den sa "mycket om vad som kan lura på dessa viktiga och sammankopplade system."

Vad är nästa:X-Force Red-teamet gav sårbarhetsinformation till berörda leverantörer "i förväg för att ge tid för en officiell fix att utvecklas och släppas före denna publikation, "Crowley sa." Flera av leverantörerna har uppdaterat sin programvara eller planerar att med lämpliga fläckar av ändringar av funktioner. "

TechNadu sa att vissa företag hävdade att användardata aldrig var i fara.

Crowleys artikel i SecurityIntelligence tog också upp råd.

Rådet inkluderade:Kryptera allt. "Full-disk-kryptering bör alltid användas på alla system som är tillgängliga för allmänheten." Han sa att kryptering med full disk redan var normen på iOS-enheter. Också, sa han om nätverksåtkomst inte krävs för att besökarhanteringssystemet ska fungera, den ska inte vara ansluten till nätverket.

© 2019 Science X Network