近期,有些凯发k8真人版被爆料存在重大技术漏洞,该文一出给整个智能快递柜行业带来了极大的影响。“智能快递柜”到底是不是任何人都能盗取的快递引发了行业热烈讨论。
这两天一篇“智能快递-任何人都能盗取的快递”在终端智能快递行业广为传布,同时许多用户也高度关注阅读,该文点击几十万,也未见涉及的企业做公开回应,对行业带来的影响是巨大且负面的,作为行业重度实操,深度研发者公开回应,以正视听,义不容辞!
该文提及了一个所谓“突破了触摸限制,跳出沙箱的漏洞”云云,在行业里绝对不是普遍现象,而且利用漏洞,操作取件也绝非普通人能做得到的。
首先,笔者对于该文作者对智能快递设备的关注,热情,及深入研究并公开提示风险的做法深表赞赏和认可,但该作者套用一些所谓的软件方面的专属名词随意夸大该漏洞造成的潜在风险并让普通用户造成事实上的心理恐慌,是不恰当,有哗众取宠之嫌。对这一趋势性的,代表未来发展方向的终端投递能带来效率提升,成本节约,提高用户体验的产业带来误导性的言论,和伤害,笔者不以为然且深感忧虑,特此,写此文章以正视听,至少起到抛砖引玉让更多专业人士来仁者见仁智者见智!
从其文章上看,这家企业的快递柜在终端机上必须连续出现三个问题才能导致可以随意取件。
首先是通过屏幕点击可以直接进入windows桌面,这个点击一般不是随意位置的点击,而是特别位置的点击,如屏幕的角落,或者特别的划屏方式。这个漏洞主要在应用软件的设计上,正常情况下系统开发者设计智能柜操作软件都是独占屏幕的,并将进入windows系统的任何可能都要屏蔽掉。这种漏洞属于明显的软件设计瑕疵,一般在行业内并不太会发生。
其次是系统上安装一个数据库管理软件,最致命的是这个数据库管理软件记住了账户密码,可以直接进入数据库。这个通常应该是工程安装出现了失误,正常情况下应该在设备安装完成后清除数据库管理密码或者直接将数据库管理软件删除。通常智能快递柜企业对于现场安装都对现场安装人员有流程化的按照手册,除非安装者没有按照安装流程指示操作,通常这种问题不会大面积发生,只会出现在个别安装工,安装的个别设备上,因为疏忽或没有按照标准安装流程去工作,才会导致这个环节存在问题。
第三是数据库中的密码为低级别的md5加密,而在it技术领域md5目前的状态已经不太被认为是密码学级别的hash了,因为较为容易解密,通常我们行业的技术人员,或我们递易智能的技术人员到各类工厂去交流时都提示这种加密方式能不用就不要再用,或者必须对md5加密前后进行二次处理也可以很好使用。据笔者所知,目前智能快递柜行业的研发人员都在逐步淘汰这种加密方式。
而在该文提到的所谓可以随意取件,必须在以上三个漏洞同时存在,才可以找到快递柜取件的钥匙。而以上三个漏洞又涉及到系统开发人员,安装工操作手册制定者,和安装工具体安装动作实施不同的三个部门的三个方面的人员,同时出现问题的概率其实没有那么高!
从实践的角度,笔者有一下一些常规看法:
1. 快递智能柜的投件,除了快递员本人之外,甚至包括快递员本人都并不清楚包裹内的物品和价值,更无法判断其它业务员投入智能快递柜格口中的物品内容或价值,盗取包裹绝大多数是利益驱动,冒如此大风险去利用所谓这种设备研发,流程编制,现场安装三方面人员同时犯错产生的漏洞,去盗取并不了解价值的包裹这个概率有多高?
2. 每一个包裹被取走的同时,取件人会有1到三张不等的快照抓拍,这个数据信息在终端上是无法被更改的,意思是:不论谁盗取了包裹,其本人头像照片是被系统所保存的。(或者你也可以说盗取者全程蒙头,这些设备通常摆放在物业或人群聚集的地方,全程蒙头也是让人醉了!)
3. 所有的智能柜都配备外置的高清实时摄像系统,多角度拍摄,每个用户取件的过程会被全程拍摄下来,通常本地存储三个月以上,有wifi的地方一些企业还采取了实时同步上传,在云端压缩后还能更长时间的被保存。
就是说,即便出现了这种连续三个漏洞,包裹也被恶意盗领,那么肇事者也会在第一时间被抓获!
笔者作为行业实操和研究者,绝非强词夺理,自我辩护,而是就事论事,我们绝不能被所谓“专业的非技术领域的人能理解的专属名词堆砌的计算机术语,故弄玄虚,并随意夸大事实,夸大危害,去造成用户的恐慌,而让这一代表行业未来的新事业造成不必要和完全能够避免的心理恐慌,这是笔者写作本文的核心目的”
行业方面的反思,按照笔者的观察和思考,总结了如下一些智能快件箱生产企业的类型,大致有这样一些。
1. 由过去几十年培养起来的信报箱生产企业升级上来的工厂或公司;
2. 生产商超或游乐园的人群积聚场所使用的“储物柜”产品升级上来的工厂;
3. 生产银行回单箱升级到智能快递箱生产的企业;
4. 作为物联网项目,从手机软硬件集成或其他智能化软硬件集成的专业企业;
毫无疑问,前三类企业需要他们从传统初级的纯人工或部分智能设备研发生产提升到高可靠性,稳定性智能化设备开发,需要在软件人才上加大力度。同时观念上也需要较大的提升才可能把这一广泛应用于社区,高频次和终端用户时时交互的大型物联网设备做好!到完善完美的程度还需要很长的路要走!
最后,笔者想说,作为快递柜行业的同仁们,以上的三个漏洞需要补上外,还要在终端机上进行防火墙的正确设置,以防黑客从网络上由外包侵入。因为实际上一般快递柜都是联网的,快递柜仅仅是物联系统的一个客户终端,要做到快递柜的安全,需要考虑的内容还有很多。开方的平台系统的安全,所有涉及数据传输信息的科学的加密,通过别的网络平台用户的联网开箱等功能的实现方法等等。这些方面需要有一个综合的全面的考虑,并将这些思考贯彻到研发,实际应用场景的各个方面和各个环节去!
当然行业的管理部门国家邮政的相关行业标准的要求,标准的制定也需要科学合理,同时落实执行情况的保障等,这些才是行业健康良性发展的基础,才是保障广大用户安全放心使用智能快件箱的基石。
上一篇: 智能储物柜的优良,由你说了算
下一篇: 智能储物柜的优良,由你说了算