Mashhur tashrif buyuruvchilar oqimini boshqarish tizimlarida aniqlangan zaifliklar
Zaifliklar ma’lumotlarni o’g’irlash, cheklangan hududlarga kirish va tashrif buyuruvchilar ma’lumotlar bazasini tahrirlash imkonini beradi.
IBM tadqiqotchilari beshta mashhur tashrif buyuruvchilarni boshqarish tizimlarida (VMS) zaifliklarni aniqladilar, bu zaifliklar ruxsatsiz shaxslarga binoga tashrif buyuruvchilar haqidagi ma’lumotlarni o’g’irlash va hatto xavfsiz joylarga kirish imkonini beradi. VMSlar odatda ofis binosi foyelarida yoki qabulxonalarda har bir qavatda xodimlar va tashrif buyuruvchilarni ro’yxatdan o’tkazish uchun o’rnatiladi. Sensorli ekranlar yoki planshetlar yordamida tashrif buyuruvchilar o’zlarining ismlari va familiyalarini kiritadilar va tashrif buyuruvchilarining manzillarini ko’rsatadilar, shundan so’ng ularga xavfsizlik ruxsatnomasi beriladi.
IBM tadqiqotchilari beshta mashhur xavfsizlik dasturiy ta’minot tizimini tahlil qilishdi va jami 19 ta zaiflikni aniqladilar. Jolly Technologies kompaniyasining Lobby Track Desktop dasturida yettita, Threshold Security (avvalgi eVisitorPass) dasturida beshta, HID Global kompaniyasining EasyLobby Solo dasturida to’rtta, Envoy’s Passport dasturida ikkita va The Receptionist iPad ilovasida bitta zaiflik mavjud edi.
Har bir zaiflikdan foydalanish uchun tajovuzkor PMSga jismoniy kirish huquqiga ega bo’lishi kerak. Ulardan ba’zilari ismlar, haydovchilik guvohnomasi ma’lumotlari, ijtimoiy ta’minot raqamlari va telefon raqamlari kabi tashrif buyuruvchilarning ma’lumotlarini olish imkonini beradi. Ba’zi hollarda, tajovuzkor hatto «kiosk rejimi» deb ataladigan rejimni chetlab o’tib, operatsion tizimga kirish huquqiga ega bo’lishi va shu bilan qurilmadagi boshqa ilovalarga va hatto butun tarmoqqa kirish huquqiga ega bo’lishi mumkin.
Eng yomoni, standart administrator ma’lumotlaridan foydalangan holda, tajovuzkor xavfsizlik tizimini to’liq nazorat qilishi va tashrif buyuruvchilar ma’lumotlar bazasini tahrirlashi mumkin. Ba’zi hollarda, ular RFID ruxsatnomalarini chop etishlari va cheklangan hududlarga kirishlari mumkin.
Tadqiqotchilar barcha ishlab chiqaruvchilarga aniqlangan muammolar haqida xabar berishdi. Ishlab chiqaruvchining so’zlariga ko’ra, Lobby Trackdagi zaiflikni konfiguratsiya sozlamalarini o’zgartirish orqali tuzatish mumkin. Envoy zaifliklar tuzatilganini tasdiqladi. Jolly Technologies, Threshold Security va HID Global vakillari izoh berishdan bosh tortdilar.
Kiosk rejimi – odatda jamoat joylaridagi qurilmalarda ishlatiladigan ilovalar. Foydalanuvchining ushbu ilovalarga kirishi ilovaning o’zi tomonidan cheklangan. Foydalanuvchilar tizimga yoki biron bir sozlamalarga kirish huquqiga ega emaslar.
