百度安全发现智能收银系统漏洞,智能时代对抗黑产刻不容缓

8月30日,“XPwn2018未来安全探索盛会”在北京盛大开幕,国内顶尖安全厂商、安全专家、白帽高手齐聚一堂,上演了一场精彩的智能安全攻防破解秀,百度安全事业部总经理马杰出席会议并致辞。

XPwn2018是由XCon组委会和未来安全联合主办的针对智能生活产品安全问题研究探索大会,会议聚焦智能穿戴、智能终端、智能交通、智能家居、公众安全、未来安全等六大智能领域,旨在发现并解决智能设备上存在的安全问题,探索更深层次的技术发展,将技术研究发展到极致,从而创造出更大更多的新价值,研究出更好的安全机制和措施。

在XPwn2018未来安全探索盛会上,来自百度安全实验室工程师小灰灰就远程破解了智能收银系统,剖析了智能收银系统的多种漏洞,让现场观众惊叹不已的同时也引发了社会对于智能收银系统安全的关注。

智能收银系统存在安全漏洞,谨防黑产利用

随着消费升级,人们对物质的需求与便捷性越来越高,餐饮市场纷纷开始进行智能化运营升级,尤其以更新传统线下收银系统,采用智能收银系统为代表。区别于传统收银台,智能收银系统能够集收银、营销、管理等功能为一体,完全替代人工点单传送的运营方式,实现商家的接单与收银,前厅与后厨的连接,从而提高商家的收款效率,降低人力成本,也满足了顾客自助点单、移动支付的需求。

而正是这为人们带来便利的智能收银系统,分分钟就能够变成你的免单金牌!在大会现场,来自百度安全实验室的小灰灰分别针对不同厂商的智能收银系统,快速寻找系统漏洞和攻击方式,在短时间内即让一台正常工作的智能收银一体机中的账单纷纷自动结账,甚至进行打折、退单等修改订单的操作。分秒之间,就将智能收银系统变成了免费供应系统,实现了完全远程控制一台智能收银设备,引发现场观众惊叹连连。根据百度安全介绍,这次选取破解的智能收银一体机,均为市场主流品牌,广泛应用在商场、餐馆之中。因此,即使在人员密集的场所,不法分子也可以神不知鬼不觉的对智能收银一体机进行破解。

究其原因,主要是这些系统在APP加固、校验机制、验证逻辑、通信与加密、网络隔离等方面存在隐患,而黑客可以很轻松的通过各种WIFI钥匙连入店家wifi,直接利用这些漏洞达到攻击目的。同时百度安全实验室工程师们发现并展示了一个新的攻击方法,这种方法适用于所有餐馆,无需对收银系统进行攻击,只要通过漏洞控制热敏打印机,就能欺骗后厨和传菜服务员。

会后,百度安全联合活动主办方第一时间将漏洞信息同步给了中国国家信息安全漏洞库CNNVD,进行对外漏洞通报,同时百度安全也将协助广大智能终端设备厂商,进行漏洞修复和安全升级。

AI时代,智能安全攻防有道

随着生活智能化的推进,越来越多的智能设备被应用于各行各业,走入千家万户,黑产分子也开始盯上这些设备伺机动手,这无疑对安全厂商和终端厂商提出了更高的安全要求。只有抢先一步发现潜在风险,掌握破解方式,厂商早一日修复漏洞,才能从根本上保障产品安全性能,避免漏洞被黑产利用而造成无法预计的损失发生。

也因此,作为安全行业领导厂商的百度安全,展现出了强有力的对抗精神,长期致力于对智能安全领域的攻防研究,与更多厂商建立良好的合作沟通机制,帮助提升设备的安全性能,保障商家和消费者的权益不受黑产侵犯。近年来,百度安全实验室团队先后发现了智能儿童手表、智能门锁等多款智能终端设备漏洞,并在DEF CON CHINA 生物特征识别village中演示了正在被广泛应用到设备中的指纹、虹膜、人脸等生物识别破解技术。同时,百度安全团队已累计向微软、谷歌、苹果、Adobe等国际顶尖厂商提交漏洞上百个,获得多次公开致谢。

一个缺乏安全的智能终端设备,可能成为攻击者攻击的目标,偷窥隐私的间谍;一个缺乏安全的AI产业,则可能是一场不可预估的灾难。进入人工智能时代,智能终端生态将面临全新的“攻”、“防”挑战,智能音箱变窃听装置、智能扫地机器人可被完全随意操控,不断涌现的智能安全问题,提醒着整个产业链中所有参与者的承担起保护用户安全的责任和使命。

作为目前人工智能领域投入力度最大的公司之一,百度安全积极推进人工智能安全生态的构建,于2017年11月联手中国信通院、华为共同创立了OASES智能终端安全生态联盟,联合终端厂商、安全厂商、高校专家和科研机构的力量,希望能够引导一个开放、共享、合作、共建的安全生态链,同时OASES联盟开源项目还向联盟成员开放源代码,共享项目相关技术专利的使用权,为厂商提供百度云+管+端整体AI安全解决方案,为智能终端设备提供从云端安全、数据传输到设备端安全的一体化安全防护,主动担当起AI时代的安全防护责任。

人工智能正在颠覆人类想象的速度发展,威胁挑战也在同步升级。未来,百度安全还将继续对智能安全展开探索,开放更多技术能力,持续与黑产做对抗,用智能科技让生活更安全。