百度安全亮相XPwn2018 遠程破解智能收銀台

8月30日,“XPwn2018未來安全探索盛會”在北京盛大開幕，國內頂尖安全廠商、安全專家、白帽高手齊聚一堂，上演了一場精彩的智能安全攻防破解秀，百度安全事業部總經理馬傑出席會議並致辭。

XPwn2018是由XCon組委會和未來安全聯合主辦的針對智能生活產品安全問題研究探索大會，會議聚焦智能穿戴、智能終端、智能交通、智能家居、公眾安全、未來安全等六大智能領域，旨在發現並解決智能設備上存在的安全問題，探索更深層次的技術發展，將技術研究發展到極致，從而創造出更大更多的新價值，研究出更好的安全機制和措施。

在XPwn2018未來安全探索盛會上，來自百度安全實驗室工程師小灰灰就遠程破解了智能收銀系統，剖析了智能收銀系統的多種漏洞，讓現場觀眾驚歎不已的同時也引發了社會對於智能收銀系統安全的關注。

智能收銀系統存在安全漏洞，謹防黑產利用

隨着消費升級，人們對物質的需求與便捷性越來越高，餐飲市場紛紛開始進行智能化運營升級，尤其以更新傳統線下收銀系統，採用智能收銀系統為代表。區別於傳統收銀台，智能收銀系統能夠集收銀、營銷、管理等功能為一體，完全替代人工點單傳送的運營方式，實現商家的接單與收銀，前廳與後廚的連接，從而提高商家的收款效率，降低人力成本，也滿足了顧客自助點單、移動支付的需求。

而正是這為人們帶來便利的智能收銀系統，分分鐘就能夠變成你的免單金牌！在大會現場，來自百度安全實驗室的小灰灰分別針對不同廠商的智能收銀系統，快速尋找系統漏洞和攻擊方式，在短時間內即讓一台正常工作的智能收銀一體機中的賬單紛紛自動結賬，甚至進行打折、退單等修改訂單的操作。分秒之間，就將智能收銀系統變成了免費供應系統，實現了完全遠程控制一台智能收銀設備，引發現場觀眾驚歎連連。根據百度安全介紹，這次選取破解的智能收銀一體機，均為市場主流品牌，廣泛應用在商場、餐館之中。因此，即使在人員密集的場所，不法分子也可以神不知鬼不覺的對智能收銀一體機進行破解。

究其原因，主要是這些系統在APP加固、校驗機制、驗證邏輯、通信與加密、網絡隔離等方面存在隱患，而黑客可以很輕鬆的通過各種WIFI鑰匙連入店家wifi，直接利用這些漏洞達到攻擊目的。同時百度安全實驗室工程師們發現並展示了一個新的攻擊方法，這種方法適用於所有餐館，無需對收銀系統進行攻擊，只要通過漏洞控制熱敏打印機，就能欺騙後廚和傳菜服務員。

會後，百度安全聯合活動主辦方第一時間將漏洞信息同步給了中國國家信息安全漏洞庫CNNVD，進行對外漏洞通報，同時百度安全也將協助廣大智能終端設備廠商，進行漏洞修復和安全升級。

AI時代，智能安全攻防有道

隨着生活智能化的推進，越來越多的智能設備被應用於各行各業，走入千家萬户，黑產分子也開始盯上這些設備伺機動手，這無疑對安全廠商和終端廠商提出了更高的安全要求。只有搶先一步發現潛在風險，掌握破解方式，廠商早一日修復漏洞，才能從根本上保障產品安全性能，避免漏洞被黑產利用而造成無法預計的損失發生。

也因此，作為安全行業領導廠商的百度安全，展現出了強有力的對抗精神，長期致力於對智能安全領域的攻防研究，與更多廠商建立良好的合作溝通機制，幫助提升設備的安全性能，保障商家和消費者的權益不受黑產侵犯。近年來，百度安全實驗室團隊先後發現了智能兒童手錶、智能門鎖等多款智能終端設備漏洞，並在DEF CON CHINA生物特徵識別village中演示了正在被廣泛應用到設備中的指紋、虹膜、人臉等生物識別破解技術。同時，百度安全團隊已累計向微軟、谷歌、蘋果、Adobe等國際頂尖廠商提交漏洞上百個，獲得多次公開致謝。

一個缺乏安全的智能終端設備，可能成為攻擊者攻擊的目標，偷窺隱私的間諜；一個缺乏安全的AI產業，則可能是一場不可預估的災難。進入人工智能時代，智能終端生態將面臨全新的“攻”、“防”挑戰，智能音箱變竊聽裝置、智能掃地機器人可被完全隨意操控，不斷湧現的智能安全問題，提醒着整個產業鏈中所有參與者的承擔起保護用户安全的責任和使命。

作為目前人工智能領域投入力度最大的公司之一，百度安全積極推進人工智能安全生態的構建，於2017年11月聯手中國信通院、華為共同創立了OASES智能終端安全生態聯盟，聯合終端廠商、安全廠商、高校專家和科研機構的力量，希望能夠引導一個開放、共享、合作、共建的安全生態鏈，同時OASES聯盟開源項目還向聯盟成員開放源代碼，共享項目相關技術專利的使用權，為廠商提供百度雲+管+端整體AI安全解決方案，為智能終端設備提供從雲端安全、數據傳輸到設備端安全的一體化安全防護，主動擔當起AI時代的安全防護責任。

人工智能正在顛覆人類想象的速度發展，威脅挑戰也在同步升級。未來，百度安全還將繼續對智能安全展開探索，開放更多技術能力，持續與黑產做對抗，用智能科技讓生活更安全。（作者：陳蕊）