XPwn2018是由XCon組委會和未來安全聯(lián)合主辦的針對智能生活產品安全問題研究探索大會,會議聚焦智能穿戴、智能終端、智能交通、智能家居、公眾安全、未來安全等六大智能領域,旨在發(fā)現(xiàn)并解決智能設備上存在的安全問題,探索更深層次的技術發(fā)展,將技術研究發(fā)展到極致,從而創(chuàng)造出更大更多的新價值,研究出更好的安全機制和措施。

在XPwn2018未來安全探索盛會上,來自百度安全實驗室工程師小灰灰就遠程破解了智能收銀系統(tǒng),剖析了智能收銀系統(tǒng)的多種漏洞,讓現(xiàn)場觀眾驚嘆不已的同時也引發(fā)了社會對于智能收銀系統(tǒng)安全的關注。

智能收銀系統(tǒng)存在安全漏洞,謹防黑產利用

隨著消費升級,人們對物質的需求與便捷性越來越高,餐飲市場紛紛開始進行智能化運營升級,尤其以更新傳統(tǒng)線下收銀系統(tǒng),采用智能收銀系統(tǒng)為代表。區(qū)別于傳統(tǒng)收銀臺,智能收銀系統(tǒng)能夠集收銀、營銷、管理等功能為一體,完全替代人工點單傳送的運營方式,實現(xiàn)商家的接單與收銀,前廳與后廚的連接,從而提高商家的收款效率,降低人力成本,也滿足了顧客自助點單、移動支付的需求。

而正是這為人們帶來便利的智能收銀系統(tǒng),分分鐘就能夠變成你的免單金牌!在大會現(xiàn)場,來自百度安全實驗室的小灰灰分別針對不同廠商的智能收銀系統(tǒng),快速尋找系統(tǒng)漏洞和攻擊方式,在短時間內即讓一臺正常工作的智能收銀一體機中的賬單紛紛自動結賬,甚至進行打折、退單等修改訂單的操作。分秒之間,就將智能收銀系統(tǒng)變成了免費供應系統(tǒng),實現(xiàn)了完全遠程控制一臺智能收銀設備,引發(fā)現(xiàn)場觀眾驚嘆連連。根據(jù)百度安全介紹,這次選取破解的智能收銀一體機,均為市場主流品牌,廣泛應用在商場、餐館之中。因此,即使在人員密集的場所,不法分子也可以神不知鬼不覺的對智能收銀一體機進行破解。

究其原因,主要是這些系統(tǒng)在APP加固、校驗機制、驗證邏輯、通信與加密、網絡隔離等方面存在隱患,而黑客可以很輕松的通過各種WIFI鑰匙連入店家wifi,直接利用這些漏洞達到攻擊目的。同時百度安全實驗室工程師們發(fā)現(xiàn)并展示了一個新的攻擊方法,這種方法適用于所有餐館,無需對收銀系統(tǒng)進行攻擊,只要通過漏洞控制熱敏打印機,就能欺騙后廚和傳菜服務員。

會后,百度安全聯(lián)合活動主辦方第一時間將漏洞信息同步給了中國國家信息安全漏洞庫CNNVD,進行對外漏洞通報,同時百度安全也將協(xié)助廣大智能終端設備廠商,進行漏洞修復和安全升級。

AI時代,智能安全攻防有道

隨著生活智能化的推進,越來越多的智能設備被應用于各行各業(yè),走入千家萬戶,黑產分子也開始盯上這些設備伺機動手,這無疑對安全廠商和終端廠商提出了更高的安全要求。只有搶先一步發(fā)現(xiàn)潛在風險,掌握破解方式,廠商早一日修復漏洞,才能從根本上保障產品安全性能,避免漏洞被黑產利用而造成無法預計的損失發(fā)生。

也因此,作為安全行業(yè)領導廠商的百度安全,展現(xiàn)出了強有力的對抗精神,長期致力于對智能安全領域的攻防研究,與更多廠商建立良好的合作溝通機制,幫助提升設備的安全性能,保障商家和消費者的權益不受黑產侵犯。近年來,百度安全實驗室團隊先后發(fā)現(xiàn)了智能兒童手表、智能門鎖等多款智能終端設備漏洞,并在DEF CON CHINA 生物特征識別village中演示了正在被廣泛應用到設備中的指紋、虹膜、人臉等生物識別破解技術。同時,百度安全團隊已累計向微軟、谷歌、蘋果、Adobe等國際頂尖廠商提交漏洞上百個,獲得多次公開致謝。

一個缺乏安全的智能終端設備,可能成為攻擊者攻擊的目標,偷窺隱私的間諜;一個缺乏安全的AI產業(yè),則可能是一場不可預估的災難。進入人工智能時代,智能終端生態(tài)將面臨全新的“攻”、“防”挑戰(zhàn),智能音箱變竊聽裝置、智能掃地機器人可被完全隨意操控,不斷涌現(xiàn)的智能安全問題,提醒著整個產業(yè)鏈中所有參與者的承擔起保護用戶安全的責任和使命。

作為目前人工智能領域投入力度最大的公司之一,百度安全積極推進人工智能安全生態(tài)的構建,于2017年11月聯(lián)手中國信通院、華為共同創(chuàng)立了OASES智能終端安全生態(tài)聯(lián)盟,聯(lián)合終端廠商、安全廠商、高校專家和科研機構的力量,希望能夠引導一個開放、共享、合作、共建的安全生態(tài)鏈,同時OASES聯(lián)盟開源項目還向聯(lián)盟成員開放源代碼,共享項目相關技術專利的使用權,為廠商提供百度云+管+端整體AI安全解決方案,為智能終端設備提供從云端安全、數(shù)據(jù)傳輸?shù)皆O備端安全的一體化安全防護,主動擔當起AI時代的安全防護責任。

人工智能正在顛覆人類想象的速度發(fā)展,威脅挑戰(zhàn)也在同步升級。未來,百度安全還將繼續(xù)對智能安全展開探索,開放更多技術能力,持續(xù)與黑產做對抗,用智能科技讓生活更安全。

分享到

songjy

相關推薦