智能收銀系統(tǒng)漏洞
想吃霸王餐就免了,說不準(zhǔn)還幫別人付飯錢
來自復(fù)旦大學(xué)的白澤戰(zhàn)隊(duì)和百度安全實(shí)驗(yàn)室兩隊(duì)極客都異常有默契,向小wifi普及了市面上智能收銀存在的漏洞。
破解收銀漏洞想吃霸王餐,卻幫別人付了飯錢
借用百度安全實(shí)驗(yàn)室的圖來表達(dá)一下,小wifi看完兩隊(duì)人馬演示后的內(nèi)心感受:
破解收銀漏洞想吃霸王餐,卻幫別人付了飯錢
或許有人聽到這是個(gè)攻破收銀系統(tǒng)的bug會(huì)想著,學(xué)會(huì)了是不是可以天天吃霸王餐了?
那你就想得太簡單了。
白澤戰(zhàn)隊(duì)現(xiàn)場針對(duì)國內(nèi)某款收銀機(jī),攻擊了兩種漏洞——
攻擊一:無需付費(fèi)吃大餐
顧客在就餐完成后,掃描二維碼不扣費(fèi),而收銀人員看到的是正常付費(fèi)成功
攻擊二:“我消費(fèi)你買單”
顧客在就餐完成后,使用他人賬戶付款無需自己付款
百度安全實(shí)驗(yàn)室則不再局限于餐廳里的收銀臺(tái),分別攻破了三種漏洞——
攻擊一:整排桌號(hào)都瞬間被結(jié)賬,而顧客無需付款
攻擊二:已經(jīng)端上來的菜也可以通過系統(tǒng)退菜
攻擊三:可以獲取包括網(wǎng)購海淘、餐飲等等收銀系統(tǒng)用戶名和密碼,還能遠(yuǎn)程登錄控制賬戶
收銀臺(tái)的安全問題往往容易被忽視,大家可能會(huì)理所當(dāng)然得認(rèn)為找一個(gè)“算盤高手”做收銀就不會(huì)翻車。但如今進(jìn)入了AI時(shí)代,不僅是商家企業(yè)的安全、只要掏出手機(jī)結(jié)賬,就可能落入了陷阱。利用漏洞鉆破收銀臺(tái)的人,小wifi只想說:“天下沒有免費(fèi)的午餐”。
