FavoriteLoading
0

越智能越有漏洞!iphone、拉卡拉智能POS均遭“黑客”破解

“骗过”人脸识别门禁、独一无二的声音被机器“偷走”、汽车被他人控制、3D打印机模仿真人笔迹写下的欠条难分真假……

1:假冒真人签名

当机器人学会了握笔写字,它就能替代你签名。中国金融认证中心的选手带着他的3D打印机来到GeekPwn2017的现场,挑战人类专业笔迹鉴定师。通过构建一个深度学习DeepWritting,就能让3D打印机拿笔在纸上自由书写,伪造真人笔迹。

2:模仿声音破解“声纹锁”

除了笔迹模仿挑战外,声音也成为AI挑战项目。 通过一段合成的语音,竟能对声纹识别系统实现“诱骗袭击”。“AI仿声验声攻防赛”上,选手根据游戏《王者荣耀》里英雄配音者所提供的声音样本,模拟了其声纹特征,合成一段“攻击”语音,对现场提供的四个具有声纹识别功能的设备发起攻击,欺骗并通过了“声纹锁”的验证。

3:5秒入侵安卓和苹果手机

在GeekPwn2017的现场,一部装有最新iOS系统的iPhone8手机中的照片被选手轻而易举地盗取了。据选手透露,此次发现的漏洞将会影响从iPhone6到iPhone8甚至更早期型号的iPhone用户。

而蚂蚁金服巴斯光年安全实验室的成员则带来了一个覆盖亿万安卓用户的漏洞:通过恶意的网页链接在手机中植入木马病毒,仅用5秒的时间,就能在不经过用户授权的情况下,远程在手机中强行装入恶意APP。

4:入侵智能POS机复制盗刷

其中在第二场攻破赛中,挑战人员来自知名的盘古实验室。随着现金消费的情况越来越少,很多商家开始使用多合一的智能POS机收单,和传统POS机相比,智能产品带来的丰富的功能,但消费者第一次刷卡行为,也可能留下自己的隐私信息,甚至包括银行卡的密码。

盘古团队的人就人员的目标是利用POS设备的漏洞,在POS机器中替换关键应用软件,然后获得所有在POS机上的刷卡信息,并复制银行卡进行消费。不过遗憾的是,由于现场环境受到了较多蓝牙信号的干扰,在限定20分钟的时间内,两位挑战者没有如期完成挑战。但在加时的5分钟中,挑战者顺利完成了挑战。

在获得了消费者的银行卡信息后,植入到一张新的银行卡中,成功复制了消费者的银行卡,并在一台新的POS机器上成功消费。

据了解,这款拉卡拉智能POS机的型号是联迪A8,据联迪官网介绍该款机器销售量已达150万台以上,是目前市场上最为畅销的智能POS机之一,包含银联商务、通联、拉卡拉、美团、钱包生活等公司均有采购投放。

联迪厂家相关人士表示:通过与这次极客大赛方联系沟通后了解到,这次针对拉卡拉智能POS(联迪A8)的攻击是利用了安卓系统的漏洞,并非哪一个终端型号的问题,已安排系统版本升级补全漏洞解决该问题。将进一步了解问题,并不断完善系统的安全性。

拉卡拉公司发布声明紧急回应:安全是金融系统的基石,保护用户的交易安全是我们职责所在。请广大用户放心使用,如果在正常使用中产生资金损失,我司将全额赔偿,确保用户资金安全。

随着线下商业和线上商业逐渐融合,传统POS机向智能POS机的演化是必然趋势。智能POS终端针对的是更加垂直化的行业,其技术能力和创新能力是最突出的两点要求,如现在经常看见的会员系统、卡券核销、数据管理、ERP系统、CRM引流系统、人力管理、财务管理、物料管理等等服务都是应用的范例,但现在市面上常见的很多智能POS终端的解决方案尚停留在表层,对商户或企业的直接提升帮助并不明显,智能POS机的未来依旧任重道远。

最后POS圈支付网提醒大家:不管是电脑、智能手机、智能POS、其他智能硬件等等,随着科技发展都会对安全性产生各种维度的错综复杂的变化,任何智能硬件都需要不停的更新升级系统已保障信息安全,系统的漏洞和安全是一种长久的攻防战,所以任何产品不存在绝对安全,只有相对安全,在日常使用POS机中正常注意用卡安全,无需有恐慌心理,并希望厂家尽早补全该漏洞并持续完善产品的安全性。(文章及图片均转自POS圈支付网)

【声明】:8090安全小组门户(http://www.8090-sec.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱hack@ddos.social,我们会在最短的时间内进行处理。