你還在逛無人超市?這裡面的安全隱患一看嚇一跳

2017年的資本市場,無人超市無疑是一個風口,吸引了眾多大資本瘋狂進入。同時,無人超市的出現讓人們真切體會到消費升級已經來臨。很多人喜歡逛無人超市,一來是好奇,二來是一種新的購物體驗,但是,無人超市存在的那些安全隱患你知道多少?

安全專家表示:「無人超市並非萬事俱備,在合理的想像範圍內,無人超市至少存在三點安全隱患,其中包括用戶信息安全、商品安全、網路及基站安全。」無人超市購物一般分為三步:1、手機掃碼通過閘機;2,選購需要的商品;3,出門(支付)。整個過程沒有營業員的參與,全部依靠智能化機器完成。

說到無人超市的安全隱患,這裡就不得不說無人超市實現的核心技術。

無人超市的核心技術(不感興趣可跳過)

以亞馬遜推出的「Amazon GO」為例,它主要採取的技術是視覺識別、深度學習演算法和感測器融合等技術。其工作原理是識別商品信息、消費者信息以及消費動作,並通過位置或姿勢進行關聯。

簡而言之就是利用攝像頭拍攝的圖片,在用戶拿走商品前後不斷對比分析圖片與商品的特徵值,從而確定商品是否被拿走結算。

「淘咖啡」與「Amazon Go」全面使用物體識別的方式不同。「淘咖啡」是在計算機視覺識別的基礎上疊加感測器、生物識別技術。

螞蟻金服技術實驗室高級技術專家曾曉東介紹道:「此技術所疊加的生物識別,是「非配合性」的,意思是在用戶無感知的狀況下就能完成身份核實,例如不正對攝像頭、不挺直身體等。

根據官方數據顯示,這套系統的身份誤識率是0.02%, 商品誤識別率為0.1%。

除上述技術外,幾乎所有的無人超市所依賴的核心技術都是「RFID」,中文解釋為射頻識別技術。這項技術並非一個新的技術種類,早在許多年前就已經應用在「圖書館」、「門禁系統」、「食品藥品溯源」等領域。

「RFID」技術的整個工作流程為:首先將商品上貼上RFID標籤,然後在出口處設立相應的讀取器,當消費者通過門口時讀取器會接收到RFID無線射頻信號,每個信號對應一個ID,每個ID對應一個商品,有效讀取範圍在幾厘米到3米不等。

不同的無人超市所應用的技術雖然不太一樣,但是其原理都是通過對消費者進行識別,利用消費者所綁定的相關信息來完成支付過程。然而這也正是無人超市存在安全隱患的地方。

無人超市可能存在的安全隱患

第一, 用戶個人信息安全

無人超市中安裝有大量攝像頭和識別感應器,這些設備將24小時監測消費者在店內消費的物品、行走的軌跡、購物的神態,甚至記錄下某位消費者在某一商品前的停留時間。

對零售商而言,掌握上述客戶消費行為的大數據,通過演算法進行分析後,自然可以得出最大利潤的銷售方案,擴大生產經營。

但對於一般的消費者而言,這樣的實時監測就存在個人信息泄露、個人隱私泄露、個人意識提前曝露的風險。

簡單而言:「大數據比你和你媽還要了解你。」

如今人們的身份信息與手機號、銀行卡賬戶、支付應用賬戶、社交軟體賬戶高度綁定。

假如某位李姓先生使用智能手機在無人超市支付了一盒避孕套,通過對應與手機綁定身份的消費記錄,大數據可以輕易判斷出李先生使用避孕套這一產品的頻率。

如果一些網路黑客通過包括社工庫在內的社工手段拿到了李先生的銀行卡信息、支付應用匯款信息、社交軟體聊天記錄等,便可大致判斷出李先生使用避孕套的潛在對象。

對於從未購買過避孕套的董小姐,如果被無人超市攝像頭及感應器記錄下在避孕套周圍打轉的動作和神情後,大數據便可理解董小姐的心思是:「想買,但不好意思買。」

於是大數據便會自動拍賣廣告,在購物網頁及手機簡訊中不斷推送避孕產品的廣告信息,提示董小姐,如果在線下不好意思買,可以線上購物。

最令人擔憂的並不是商家或官方掌握數據後進行廣告推送或營銷活動,而是用戶的個人數據被不法分子、不良企圖分子利用。

一旦有不良企圖分子提前根據目標對象的購物習慣、購物產品判斷出目標對象的思維意識,那麼在實施不良企圖時,就不再是簡單的暴力犯罪或經濟犯罪。

它像是哈利波特中某種預知未來的「魔法犯罪」,在現實的成人世界中,它被稱之為意外。但只要理解大數據原理的人都明白,這是一種科學的「習慣預測性犯罪」。

簡單來說,現在不怕犯罪,就怕犯罪人還懂新科技和大數據。

第二,商品安全

無人超市採用的核心技術是RFID,但RFID的識別率並沒有達到盡善盡美的程度。

安全專家認為:「RFI存在信號碰到液體強度降低、遇到金屬容易衰減屏蔽、難粘貼易被撕毀等諸多在大規模、多種類投入後才會顯現的安全問題。」

儘管「Amazon Go」和「淘咖啡」都研發出了視覺識別技術等新科技作為RFID的補充,提高識別的精準度,但是在消費者有準備逃單的情況下,還是無法保證百分百的識別率。

業內資深白帽子告訴安在(ID:AnZer_SH):「假設有一個消費者叫小王,他戴著帽子、墨鏡和口罩並在臉上化了幾乎改變五官的妝容走進了無人超市,利用金屬薄紙或液體將RFID無死角包裹或乾脆撕毀後穿過感應門,此時感應門識別出小王的概率就會大大降低。

如果要抓住犯罪嫌人小王,只能根據監控錄像事後抓捕,如遇到此類情況,需要投入的安全成本無形中又會大大增加。」

螞蟻金服技術實驗室高級技術專家曾曉東也坦然承認了這一點,他說:「未來還會在計算機視覺演算法上繼續深入下去,因為這是被公認的主流解決方案。感測器還存在無法解決的技術缺陷,比如用身體緊緊捂住商品,就很難被識別出。」

當然,螞蟻金服團隊也明確表示,他們的目標並不是真的開完全無人的超市,而是想幫助傳統超市和舊有的便利店進行智能化改造,提高線下零售效率,降低銷售的人工成本。

第三,網路及基站安全

在未來,公共WI-FI普及後,集餐飲、購物、社交、娛樂於一體的無人超市將會成為較適合安裝公共WI-FI的區域之一。

無線電專家告訴安在(ID:AnZer_SH):「如果無人超市或附近有未經加密保護的公共WI-FI,而普通民眾在購物時直接連接,很可能出現網路被黑客劫持的風險,因為公共WI-FI連接人數多,傳輸數據量大,往往是黑客選擇進攻的目標。

一旦消費網路被黑客劫持,消費者的個人身份信息、銀行賬戶信息、社交軟體記錄、支付賬戶數據都有可能被黑客利用。

其中,最直接犯罪方式是用被控手機在網上消費,更有甚者,還會利用被控者手機進行貸款、敲詐、勒索等違法行為。」

除了公共WI-FI外,還要當心偽基站騙局。

一旦有流動性的偽基站在附近徘徊,很可能用戶的手機信號被強制連接到偽基站中,導致用戶不能正常使用運營商提供的服務,並且很可能在那段時間接收到一些來自官方號碼的簡訊。

如遇到此類情況,正在無人超市消費的用戶不用驚慌,只需重新連接正常運營商的網路即可。

如果對方發來的簡訊與無人超市消費內容相關,請務必諮詢官方客服人員並在第三方支付軟體中確認後再做下一步的行動決定。

除上述情況外,需要特別提醒消費者的是手機的硬體安全。

因為無論是在無人超市還是在任何的消費場景中,智能手機已經不再是單純的手機,而是集身份信息、銀行卡信息、社交信息於一體的多功能設備,一旦丟失,諸多個人信息將會泄露,其損失遠大於一部智能手機價值。

安在(ID:AnZer_SH)為您提供的安全建議是:

1. 設置較複雜的手機鎖屏密碼,並定期更換。

2. 在手機內安裝相關防盜、防毒、防欺詐軟體。

3. 在安全的WI-FI環境下上網,如果是在公共WI-FI環境下,需要格外謹慎,如果不是特別緊急的事件,寧願少連接一會WI-FI也不使用沒有密碼的公共WI-FI。

安在

(ID:AnZer_SH)

新銳|大咖|白帽|深度

推薦閱讀:

白帽子挖洞—SQL注入篇
迪斯尼電影被竊?黑客:不給贖金,我就要放資源了!
解決XTBL的病毒有經驗嗎?
怎樣找到一個資深信息安全的男朋友?
修改軟體數字簽名的可行性?

TAG:信息安全 | 信息网络安全 | 技术 |