百度安全发现收银系统漏洞 将协助厂商进行修复

在近日XPwn2018未来安全探索大会上，百度的技术人员展示了破解智能收银系统，这次破解对收银系统的安全性提出了更高的要求，百度安全表示将会帮助企业修复这些漏洞。

现场，百度安全实验室工程师小灰灰远程破解了智能收银系统，剖析了智能收银系统的多种漏洞，引发社会对于智能收银系统安全的关注。

据介绍，小灰灰分别针对不同厂商的智能收银系统，快速寻找系统漏洞和攻击方式，在短时间内即让一台正常工作的智能收银一体机中的账单纷纷自动结账，甚至进行打折、退单等修改订单的操作。

智能收银系统变成了免费供应系统，实现了完全远程控制一台智能收银设备。

究其原因，主要是这些系统在APP加固、校验机制、验证逻辑、通信与加密、网络隔离等方面存在隐患，而黑客可以很轻松的通过各种WIFI钥匙连入店家wifi，直接利用这些漏洞达到攻击目的。

同时，百度安全实验室工程师们发现并展示了一个新的攻击方法，这种方法适用于所有餐馆，无需对收银系统进行攻击，只要通过漏洞控制热敏打印机，就能欺骗后厨和传菜服务员。

会后，百度安全联合活动主办方第一时间将漏洞信息同步给了中国国家信息安全漏洞库CNNVD，进行对外漏洞通报，同时百度安全也将协助广大智能终端设备厂商，进行漏洞修复和安全升级。

只有抢先一步发现潜在风险，掌握破解方式，厂商早一日修复漏洞，才能从根本上保障产品安全性能，避免漏洞被黑产利用而造成无法预计的损失发生。

百度安全事业部产品总经理韩祖利认为，首先，AI时代面临的安全挑战比传统安全时代更复杂，纵贯传感器、软件、数据、系统、网络等多个层面。

其次，数据投毒、生物识别欺骗，AI自身的安全性变得前所未有的重要；第三，AI时代的安全生态是共研生态，以往企业碎片化的单兵作战、安全统一标准的缺失，将消耗公众对整个行业的信心。

基于以上三大趋势，韩祖利给出几点建议，首先，AI时代所面临的安全挑战，需要企业以生态联盟的方式共同应对；其次，关系、技术、数据是AI安全生态共建的三大支点。

第三，以BAT为代表的大公司应率先做出正向外部性的研究和投入，使得整个生态获得更好的安全防护。

百度安全还提出了以安全质量显性化、安全技术适应化、安全能力内建化为核心的AIoT生态安全理念，推出了百度云+管+端整体AI安全解决方案。

包括自适应系统热修复KARMA技术，内存安全核心组件MesaLock，运行时云端应用防护OpenRASP以及AI对抗攻击工具包Advbox以及安全OTA、反DNS劫持等一系列特色能力，能够帮助厂商快速、低成本修复设备漏洞及功能缺陷。

以上就是百度安全发现收银系统漏洞的相关内容。