智能收銀系統(tǒng)漏洞
想吃霸王餐就免了,說(shuō)不準(zhǔn)還幫別人付飯錢(qián)
來(lái)自復(fù)旦大學(xué)的白澤戰(zhàn)隊(duì)和百度安全實(shí)驗(yàn)室兩隊(duì)極客都異常有默契,向小wifi普及了市面上智能收銀存在的漏洞。
破解收銀漏洞想吃霸王餐,卻幫別人付了飯錢(qián)
借用百度安全實(shí)驗(yàn)室的圖來(lái)表達(dá)一下,小wifi看完兩隊(duì)人馬演示后的內(nèi)心感受:
破解收銀漏洞想吃霸王餐,卻幫別人付了飯錢(qián)
或許有人聽(tīng)到這是個(gè)攻破收銀系統(tǒng)的bug會(huì)想著,學(xué)會(huì)了是不是可以天天吃霸王餐了?
那你就想得太簡(jiǎn)單了。
白澤戰(zhàn)隊(duì)現(xiàn)場(chǎng)針對(duì)國(guó)內(nèi)某款收銀機(jī),攻擊了兩種漏洞——
攻擊一:無(wú)需付費(fèi)吃大餐
顧客在就餐完成后,掃描二維碼不扣費(fèi),而收銀人員看到的是正常付費(fèi)成功
攻擊二:“我消費(fèi)你買(mǎi)單”
顧客在就餐完成后,使用他人賬戶(hù)付款無(wú)需自己付款
百度安全實(shí)驗(yàn)室則不再局限于餐廳里的收銀臺(tái),分別攻破了三種漏洞——
攻擊一:整排桌號(hào)都瞬間被結(jié)賬,而顧客無(wú)需付款
攻擊二:已經(jīng)端上來(lái)的菜也可以通過(guò)系統(tǒng)退菜
攻擊三:可以獲取包括網(wǎng)購(gòu)海淘、餐飲等等收銀系統(tǒng)用戶(hù)名和密碼,還能遠(yuǎn)程登錄控制賬戶(hù)
收銀臺(tái)的安全問(wèn)題往往容易被忽視,大家可能會(huì)理所當(dāng)然得認(rèn)為找一個(gè)“算盤(pán)高手”做收銀就不會(huì)翻車(chē)。但如今進(jìn)入了AI時(shí)代,不僅是商家企業(yè)的安全、只要掏出手機(jī)結(jié)賬,就可能落入了陷阱。利用漏洞鉆破收銀臺(tái)的人,小wifi只想說(shuō):“天下沒(méi)有免費(fèi)的午餐”。
