XPwan 2018探索未来安全盛会，万物互联时代可以玩出哪些花活？

阿汤哥的最新力作《碟中谍6》即将上映，笔者的的不少朋友都已预购了电影票，准备过几天去嗨皮了。虽然本人不是阿汤哥的饭，但这个系列能出道第6集也不无道理，全程无尿点、咔咔就是干、各种神奇的黑客装备X炸天，特别是第4集里露脸的视网膜摄像头，更是让我们大开眼界，可以说是引领了影视圈黑客技术与装备的潮流，一直被模仿，从未被超越。

但“黑客”这个词在中文里有点儿吃亏，因为“黑”这个字拖了后腿……不过回到本意Hacker，就没有任何的黑白之分了。黑客们的目标是为了探索世界，并努力让她变得更加美好。今天在北京朝阳区751D-Park举办的XPwn 2018未来安全探索盛会就聚集了一帮为Hack而生的年轻人，现场展示或酷炫或有趣的破解演示，分享近年来在安全研究中经验心得，不要走开，精彩马上开始。

都说”天下没有免费的午餐”，可你知道吗？通过某些技术手段，远程攻击收银系统，不仅可以享受到免费的午餐，还能顿顿吃大餐！这给很多餐饮和其他一些消费类商家造成了极大的损失和危害。来自复旦大学的白泽战队为我们展示了远程破解智能收银台的骚操作，这波只能说是很溜了。

白泽战队介绍道，从运维层面上来讲，使用智能收银台的多数商铺的安全意识都较为薄弱。经过他们的测试发现，这些商铺的无线网络往往会同时开放给顾客，也就是说在商铺中时，他们的收银台所在网络和顾客能连接上的WIFI是在同一个局域网中的。从技术层面上来看的话，这些智能收银台多基于安卓定制，存在各种已知和未知的漏洞，“不下几百个”。

白泽战队对整个支付流程进行了渗透测试，最终发现了多个高危的漏洞，包括文件上传、远程代码执行、缓存区溢出、ROOT提权，基本该有的都有了……

漏洞在手，攻击者只需在手机上运行提前编写好的恶意软件，无须接触收银台，也不用知道任何用户名密码就可以轻松完成攻击。

讲完大概的原理，白泽战队接下来分别表演了“不付费吃大餐”和“我消费你买单”两出好戏。然而除此之外，智能终端上可以玩的花活还有很多很多，全员免单、任意点菜、修改桌号等玩法层出不穷，甚至一张贴纸覆盖二维码，一天也可以造成高达数十万元的损失。安全工作者们做此实验的本意是为了更好地保驾护航，商家本身的安全意识，也确实该好好加强加强了。

万物互联时代，咱们的生活越来越信息化、智能化，安全漏洞带来的隐患不止存在于虚拟网络世界中，除了上面说的吃，住和行也存在大量安全威胁。来自未来安全胖猴实验室的两位研究员为我们现场表演了破解智能门锁，同样无需接触目标，一部手机搞定。

1、手机开锁；

2、门卡开锁；

3、权限密码；

4、时效密码；

5、一次性密码；

6、钥匙开锁。