跪了：1美元就能買到Macbook Pro……

如果你發現你緊巴巴攢了幾個月買到的Macbook Pro居然1美元就能買到……1美元大概等於6.6465人民幣，6塊錢買到Macbook Pro？！

被發現的漏洞

近日安全公司ERPScan的安全研究員發現了一個SAP POS Xpress Server的漏洞，這個漏洞允許攻擊者任意更改SAP銷售點系統的配置文件和產品價格，還能收集消費者的銀行卡數據。

ERPScan方面表示，SAP POS系統沒有任何身份驗證措施，這相當於給黑客開了天窗，只要他們與SAP POS Xpress Server處於同一網路環境下，不需要任何憑證就能進入系統修改關鍵功能。如果支付系統與Internet相連，黑客也可以進行遠程攻擊。

你以為不聯網就是安全的了嗎？即使 POS 系統採用氣隙網路（air-gap network），攻擊者只需要連接一個成本僅25美元的樹莓派，就可以自動運行惡意命令。

只需要幾秒鐘，黑客就能找到系統開放埠執行惡意命令，修改產品價格並上傳新的 SAP POS Xpress Server 配置文件，並重新啟動 POS 伺服器。

在今年四月，ERPScan已向SAP展示研究報告，SAP方面也在Security Note 2476601 和 SAP Security Note 2520064中修復。而這似乎只是冰山一角，SAP的POS系統被約80％的全球2000強零售商使用，這些系統都有做過相應的漏洞修補嗎？

實施起來不太容易

研究人員將MacBook的價格修改為1美元，但這顯然很難通過收銀員那一關！

當然，在現實生活中這樣的攻擊應該更加隱蔽一些，畢竟一台MacBook不可能只賣1美元。但是，如果入侵者修改的價格跟商品原價相差不是很多，或者同時購買一堆其他的東西，那麼這種攻擊就很難被發現。

這樣的話就比較有意思了，畢竟一個樹莓派也就25美元，而收銀員對於一些東西的價格並不是特別清楚，要是頻繁在商店結算的時候都這麼撈一筆的話，日積月累下收益還是相當恐怖了。這裡，恐怕大家比較感興趣的還有那25元的黑客設備吧！

Raspberry Pi(中文名為「樹莓派」,簡寫為RPi，(或者RasPi / RPI)是為學習計算機編程教育而設計，只有信用卡大小的微型電腦，其系統基於Linux。

自問世以來，受眾多計算機發燒友和創客的追捧，曾經一「派」難求。別看其外表「嬌小」，內「心」卻很強大，視頻、音頻等功能通通皆有，可謂是「麻雀雖小，五臟俱全」。

所以嘛，這東西受到黑客歡迎也是正常的了，不過這樣惡意入侵的話，是違法法律法規的，所以，1美元就能買到Macbook Pro這事兒，或許真有黑客貪心去嘗試，可咱們吃瓜群眾，看看就好了吧！

小獅子最喜歡的雞腿 分割線

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！