如果你发现你紧巴巴攒了几个月买到的 Pro居然1美元就能买到……1美元大概等于6.6465人民币,6块钱买到 Pro?!

被发现的漏洞

近日安全公司的安全研究员发现了一个SAP POS 的漏洞,这个漏洞允许攻击者任意更改SAP销售点系统的配置文件和产品价格,还能收集消费者的银行卡数据。

方面表示,SAP POS系统没有任何身份验证措施,这相当于给黑客开了天窗,只要他们与SAP POS 处于同一网络环境下,不需要任何凭证就能进入系统修改关键功能。如果支付系统与相连,黑客也可以进行远程攻击。

你以为不联网就是安全的了吗?即使 POS 系统采用气隙网络(air-gap ),攻击者只需要连接一个成本仅25美元的树莓派,就可以自动运行恶意命令。

只需要几秒钟,黑客就能找到系统开放端口执行恶意命令,修改产品价格并上传新的 SAP POS 配置文件,并重新启动 POS 服务器。

在今年四月,已向SAP展示研究报告,SAP方面也在 Note 和 SAP Note 中修复。而这似乎只是冰山一角,SAP的POS系统被约80%的全球2000强零售商使用,这些系统都有做过相应的漏洞修补吗?

实施起来不太容易

研究人员将的价格修改为1美元,但这显然很难通过收银员那一关!

当然,在现实生活中这样的攻击应该更加隐蔽一些,毕竟一台不可能只卖1美元。但是,如果入侵者修改的价格跟商品原价相差不是很多,或者同时购买一堆其他的东西,那么这种攻击就很难被发现。

这样的话就比较有意思了,毕竟一个树莓派也就25美元,而收银员对于一些东西的价格并不是特别清楚,要是频繁在商店结算的时候都这么捞一笔的话,日积月累下收益还是相当恐怖了。这里,恐怕大家比较感兴趣的还有那25元的黑客设备吧!

Pi(中文名为“树莓派”,简写为RPi,(或者RasPi / RPI)是为学习计算机编程教育而设计,只有信用卡大小的微型电脑,其系统基于Linux。

自问世以来,受众多计算机发烧友和创客的追捧,曾经一“派”难求。别看其外表“娇小”,内“心”却很强大,视频、音频等功能通通皆有,可谓是“麻雀虽小,五脏俱全”。

所以嘛,这东西受到黑客欢迎也是正常的了,不过这样恶意入侵的话,是违法法律法规的,所以,1美元就能买到 Pro这事儿,或许真有黑客贪心去尝试,可咱们吃瓜群众,看看就好了吧!

小狮子最喜欢的鸡腿 分割线