FavoriteLoading
0

越智能越有漏洞!iphone、拉卡拉智能POS均遭“黑客”破解

“騙過”人臉識別門禁、獨一無二的聲音被機器“偷走”、汽車被他人控制、3D打印機模仿真人筆跡寫下的欠條難分真假……

1:假冒真人簽名

當機器人學會了握筆寫字,它就能替代你簽名。中國金融認證中心的選手帶著他的3D打印機來到GeekPwn2017的現場,挑戰人類專業筆跡鑒定師。通過構建一個深度學習DeepWritting,就能讓3D打印機拿筆在紙上自由書寫,偽造真人筆跡。

2:模仿聲音破解“聲紋鎖”

除了筆跡模仿挑戰外,聲音也成為AI挑戰項目。 通過一段合成的語音,竟能對聲紋識別系統實現“誘騙襲擊”。“AI仿聲驗聲攻防賽”上,選手根據游戲《王者榮耀》里英雄配音者所提供的聲音樣本,模擬了其聲紋特征,合成一段“攻擊”語音,對現場提供的四個具有聲紋識別功能的設備發起攻擊,欺騙并通過了“聲紋鎖”的驗證。

3:5秒入侵安卓和蘋果手機

在GeekPwn2017的現場,一部裝有最新iOS系統的iPhone8手機中的照片被選手輕而易舉地盜取了。據選手透露,此次發現的漏洞將會影響從iPhone6到iPhone8甚至更早期型號的iPhone用戶。

而螞蟻金服巴斯光年安全實驗室的成員則帶來了一個覆蓋億萬安卓用戶的漏洞:通過惡意的網頁鏈接在手機中植入木馬病毒,僅用5秒的時間,就能在不經過用戶授權的情況下,遠程在手機中強行裝入惡意APP。

4:入侵智能POS機復制盜刷

其中在第二場攻破賽中,挑戰人員來自知名的盤古實驗室。隨著現金消費的情況越來越少,很多商家開始使用多合一的智能POS機收單,和傳統POS機相比,智能產品帶來的豐富的功能,但消費者第一次刷卡行為,也可能留下自己的隱私信息,甚至包括銀行卡的密碼。

盤古團隊的人就人員的目標是利用POS設備的漏洞,在POS機器中替換關鍵應用軟件,然后獲得所有在POS機上的刷卡信息,并復制銀行卡進行消費。不過遺憾的是,由于現場環境受到了較多藍牙信號的干擾,在限定20分鐘的時間內,兩位挑戰者沒有如期完成挑戰。但在加時的5分鐘中,挑戰者順利完成了挑戰。

在獲得了消費者的銀行卡信息后,植入到一張新的銀行卡中,成功復制了消費者的銀行卡,并在一臺新的POS機器上成功消費。

據了解,這款拉卡拉智能POS機的型號是聯迪A8,據聯迪官網介紹該款機器銷售量已達150萬臺以上,是目前市場上最為暢銷的智能POS機之一,包含銀聯商務、通聯、拉卡拉、美團、錢包生活等公司均有采購投放。

聯迪廠家相關人士表示:通過與這次極客大賽方聯系溝通后了解到,這次針對拉卡拉智能POS(聯迪A8)的攻擊是利用了安卓系統的漏洞,并非哪一個終端型號的問題,已安排系統版本升級補全漏洞解決該問題。將進一步了解問題,并不斷完善系統的安全性。

拉卡拉公司發布聲明緊急回應:安全是金融系統的基石,保護用戶的交易安全是我們職責所在。請廣大用戶放心使用,如果在正常使用中產生資金損失,我司將全額賠償,確保用戶資金安全。

隨著線下商業和線上商業逐漸融合,傳統POS機向智能POS機的演化是必然趨勢。智能POS終端針對的是更加垂直化的行業,其技術能力和創新能力是最突出的兩點要求,如現在經常看見的會員系統、卡券核銷、數據管理、ERP系統、CRM引流系統、人力管理、財務管理、物料管理等等服務都是應用的范例,但現在市面上常見的很多智能POS終端的解決方案尚停留在表層,對商戶或企業的直接提升幫助并不明顯,智能POS機的未來依舊任重道遠。

最后POS圈支付網提醒大家:不管是電腦、智能手機、智能POS、其他智能硬件等等,隨著科技發展都會對安全性產生各種維度的錯綜復雜的變化,任何智能硬件都需要不停的更新升級系統已保障信息安全,系統的漏洞和安全是一種長久的攻防戰,所以任何產品不存在絕對安全,只有相對安全,在日常使用POS機中正常注意用卡安全,無需有恐慌心理,并希望廠家盡早補全該漏洞并持續完善產品的安全性。(文章及圖片均轉自POS圈支付網)

【聲明】:8090安全小組門戶(http://www.jvwkvg.tw)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。