8月30日,“XPwn2018未来安全探索盛会”在北京盛大开幕,国内顶尖安全厂商、安全专家、白帽高手齐聚一堂,上演了一场精彩的智能安全攻防破解秀。
在XPwn2018未来安全探索盛会上,来自百度安全实验室工程师小灰灰就远程破解了智能收银系统,剖析了智能收银系统的多种漏洞,让现场观众惊叹不已的同时也引发了社会对于智能收银系统安全的关注。
智能收银系统存在安全漏洞,谨防黑产利用
随着消费升级,人们对物质的需求与便捷性越来越高,餐饮市场纷纷开始进行智能化运营升级,尤其以更新传统线下收银系统,采用智能收银系统为代表。区别于传统收银台,智能收银系统能够集收银、营销、管理等功能为一体,完全替代人工点单传送的运营方式,实现商家的接单与收银,前厅与后厨的连接,从而提高商家的收款效率,降低人力成本,也满足了顾客自助点单、移动支付的需求。
而正是这为人们带来便利的智能收银系统,分分钟就能够变成你的免单金牌!在大会现场,来自百度安全实验室的小灰灰分别针对不同厂商的智能收银系统,快速寻找系统漏洞和攻击方式,在短时间内即让一台正常工作的智能收银一体机中的账单纷纷自动结账,甚至进行打折、退单等修改订单的操作。分秒之间,就将智能收银系统变成了免费供应系统,实现了完全远程控制一台智能收银设备,引发现场观众惊叹连连。根据百度安全介绍,这次选取破解的智能收银一体机,均为市场主流品牌,广泛应用在商场、餐馆之中。因此,即使在人员密集的场所,不法分子也可以神不知鬼不觉的对智能收银一体机进行破解。
究其原因,主要是这些系统在APP加固、校验机制、验证逻辑、通信与加密、网络隔离等方面存在隐患,而黑客可以很轻松的通过各种WIFI钥匙连入店家wifi,直接利用这些漏洞达到攻击目的。同时百度安全实验室工程师们发现并展示了一个新的攻击方法,这种方法适用于所有餐馆,无需对收银系统进行攻击,只要通过漏洞控制热敏打印机,就能欺骗后厨和传菜服务员。
会后,百度安全联合活动主办方第一时间将漏洞信息同步给了中国国家信息安全漏洞库CNNVD,进行对外漏洞通报,同时百度安全也将协助广大智能终端设备厂商,进行漏洞修复和安全升级。
2018第二届移动金融安全大会将在深圳召开,届时将邀请权威人士聚焦收银终端安全分析与设计。
