邹建华

亿欧专家作者 递易智能CEO

32

文章/篇

33.9万

阅读/次

拜访信息

为了给您提供更快更好的服务,在获取作者联系方式前,想对您有个简单了解. 邀请您填写如下信息

提交成功

非常感谢您的配合,我们的作者会尽快通过您的微信,
请耐心等待~

微信号

15701235851

智能快递是任何人都能盗取的快递?行业创业者有话说

智慧物流
亿欧
邹建华
2016-03-06 · 17:20
[ 亿欧导读 ] 近期,中集E栈的智能快递柜被爆料存在重大技术漏洞,该文一出给整个智能快递柜行业带来了极大的影响。“智能快递柜”到底是不是任何人都能盗取的快递引发了行业热烈讨论。
物流快递电商包裹终端配送智能快递柜,智能快递柜,互联网+物流,物流O2O

这两天一篇“智能快递-任何人都能盗取的快递”在终端智能快递行业广为传布,同时许多用户也高度关注阅读,该文点击几十万,也未见涉及的企业做公开回应,对行业带来的影响是巨大且负面的,作为行业重度实操,深度研发者公开回应,以正视听,义不容辞!

该文提及了一个所谓“突破了触摸限制,跳出沙箱的漏洞”云云,在行业里绝对不是普遍现象,而且利用漏洞,操作取件也绝非普通人能做得到的。

首先,笔者对于该文作者对智能快递设备的关注,热情,及深入研究并公开提示风险的做法深表赞赏和认可,但该作者套用一些所谓的软件方面的专属名词随意夸大该漏洞造成的潜在风险并让普通用户造成事实上的心理恐慌,是不恰当,有哗众取宠之嫌。对这一趋势性的,代表未来发展方向的终端投递能带来效率提升,成本节约,提高用户体验的产业带来误导性的言论,和伤害,笔者不以为然且深感忧虑,特此,写此文章以正视听,至少起到抛砖引玉让更多专业人士来仁者见仁智者见智!

从其文章上看,这家企业的快递柜在终端机上必须连续出现三个问题才能导致可以随意取件。

首先是通过屏幕点击可以直接进入windows桌面,这个点击一般不是随意位置的点击,而是特别位置的点击,如屏幕的角落,或者特别的划屏方式。这个漏洞主要在应用软件的设计上,正常情况下系统开发者设计智能柜操作软件都是独占屏幕的,并将进入windows系统的任何可能都要屏蔽掉。这种漏洞属于明显的软件设计瑕疵,一般在行业内并不太会发生。

其次是系统上安装一个数据库管理软件,最致命的是这个数据库管理软件记住了账户密码,可以直接进入数据库。这个通常应该是工程安装出现了失误,正常情况下应该在设备安装完成后清除数据库管理密码或者直接将数据库管理软件删除。通常智能快递柜企业对于现场安装都对现场安装人员有流程化的按照手册,除非安装者没有按照安装流程指示操作,通常这种问题不会大面积发生,只会出现在个别安装工,安装的个别设备上,因为疏忽或没有按照标准安装流程去工作,才会导致这个环节存在问题。

第三是数据库中的密码为低级别的MD5加密,而在IT技术领域MD5目前的状态已经不太被认为是密码学级别的hash了,因为较为容易解密,通常我们行业的技术人员,或我们递易智能的技术人员到各类工厂去交流时都提示这种加密方式能不用就不要再用,或者必须对MD5加密前后进行二次处理也可以很好使用。据笔者所知,目前智能快递柜行业的研发人员都在逐步淘汰这种加密方式。

而在该文提到的所谓可以随意取件,必须在以上三个漏洞同时存在,才可以找到快递柜取件的钥匙。而以上三个漏洞又涉及到系统开发人员,安装工操作手册制定者,和安装工具体安装动作实施不同的三个部门的三个方面的人员,同时出现问题的概率其实没有那么高!

从实践的角度,笔者有一下一些常规看法:

1. 快递智能柜的投件,除了快递员本人之外,甚至包括快递员本人都并不清楚包裹内的物品和价值,更无法判断其它业务员投入智能快递柜格口中的物品内容或价值,盗取包裹绝大多数是利益驱动,冒如此大风险去利用所谓这种设备研发,流程编制,现场安装三方面人员同时犯错产生的漏洞,去盗取并不了解价值的包裹这个概率有多高?

2. 每一个包裹被取走的同时,取件人会有1到三张不等的快照抓拍,这个数据信息在终端上是无法被更改的,意思是:不论谁盗取了包裹,其本人头像照片是被系统所保存的。(或者你也可以说盗取者全程蒙头,这些设备通常摆放在物业或人群聚集的地方,全程蒙头也是让人醉了!)

3. 所有的智能柜都配备外置的高清实时摄像系统,多角度拍摄,每个用户取件的过程会被全程拍摄下来,通常本地存储三个月以上,有WIFI的地方一些企业还采取了实时同步上传,在云端压缩后还能更长时间的被保存。

就是说,即便出现了这种连续三个漏洞,包裹也被恶意盗领,那么肇事者也会在第一时间被抓获!

笔者作为行业实操和研究者,绝非强词夺理,自我辩护,而是就事论事,我们绝不能被所谓“专业的非技术领域的人能理解的专属名词堆砌的计算机术语,故弄玄虚,并随意夸大事实,夸大危害,去造成用户的恐慌,而让这一代表行业未来的新事业造成不必要和完全能够避免的心理恐慌,这是笔者写作本文的核心目的”

行业方面的反思,按照笔者的观察和思考,总结了如下一些智能快件箱生产企业的类型,大致有这样一些。

1. 由过去几十年培养起来的信报箱生产企业升级上来的工厂或公司;

2. 生产商超或游乐园的人群积聚场所使用的“储物柜”产品升级上来的工厂;

3. 生产银行回单箱升级到智能快递箱生产的企业;

4. 作为物联网项目,从手机软硬件集成或其他智能化软硬件集成的专业企业;

毫无疑问,前三类企业需要他们从传统初级的纯人工或部分智能设备研发生产提升到高可靠性,稳定性智能化设备开发,需要在软件人才上加大力度。同时观念上也需要较大的提升才可能把这一广泛应用于社区,高频次和终端用户时时交互的大型物联网设备做好!到完善完美的程度还需要很长的路要走!

最后,笔者想说,作为快递柜行业的同仁们,以上的三个漏洞需要补上外,还要在终端机上进行防火墙的正确设置,以防黑客从网络上由外包侵入。因为实际上一般快递柜都是联网的,快递柜仅仅是物联系统的一个客户终端,要做到快递柜的安全,需要考虑的内容还有很多。开方的平台系统的安全,所有涉及数据传输信息的科学的加密,通过别的网络平台用户的联网开箱等功能的实现方法等等。这些方面需要有一个综合的全面的考虑,并将这些思考贯彻到研发,实际应用场景的各个方面和各个环节去!

当然行业的管理部门国家邮政的相关行业标准的要求,标准的制定也需要科学合理,同时落实执行情况的保障等,这些才是行业健康良性发展的基础,才是保障广大用户安全放心使用智能快件箱的基石。

推荐阅读:端配送智能化行业大起底

物流终端O2O成功的6大核心要素

超级线上流量寡头BAT之O2O下一轮目标——终端物流

版权声明

本文来源亿欧,经亿欧授权发布,版权归原作者所有。转载或内容合作请点击转载说明,违规转载法律必究。

各工作岗位将被AI取代的概率

选择岗位,查看结果

制图员和摄影师

87.9%

打赏支持

5
5
10
20
50
80
100
其它金额
任意赏:

参与评论

最新文章

关闭

快来扫描二维码,参与话题讨论吧!

快捷登录 密码登录
获取验证码

新用户登录后自动创建账号

登录表示你已阅读并同意《亿欧用户协议》

快捷登录 密码登录

账号为用户名/邮箱的用户 选择人工找回

关联已有账户

新用户或忘记密码请选择,快捷绑定

账号为用户名/邮箱的用户 选择人工找回

快速注册

获取验证码

创建关联新账户

发送验证码

找回密码

获取验证码
账号为用户名 / 邮箱的用户 选择人工找回

未完成注册的用户需设置密码

如果你遇到下面的问题

我在注册/找回密码的过程中无法收到手机短信消

我先前用E-mail注册过亿欧网但是现在没有办法通过它登录,我想找回账号

其他问题导致我无法成功的登录/注册

请发送邮箱到service@iyiou.com,说明自己在登录过程中遇到的问题,工作人员将会第一时间为您提供帮助

账号密码登录

乐乐呵呵@微信昵称

该亿欧账号尚未关联亿欧网账户

关联已有账户

曾经使用手机注册过亿欧网账户的用户

创建并关联新账户

曾用微信登录亿欧网但没有用手机注册过亿欧的用户

没有注册过亿欧网的新用户

先前使用邮箱注册亿欧网的老用户,请点击这里进入特别通道
意见反馈
意见反馈
亿欧公众号 亿欧公众号
小程序-亿欧plus 小程序-亿欧plus
返回顶部