OfO 小黃車的最新款鎖被兩個黑客現場破解瞭!而且,短期內這個漏洞可能修補起來很困難。
9 月 6 日,在極智未來 XPwn 上,上演瞭可能讓 OfO 懵逼的一幕。
" 共享單車鎖廠很多,哪傢實力最強?"
" 我們決定拿最大的鎖廠 Nokelock 最新款的智能馬蹄鎖試試。截止 5 月,共有 515 萬把投放量。"
百度安全的安全研究員黃正和小灰灰如是說。
首當其沖的是大面積鋪瞭這款鎖的 OfO 。
在這場連破解前一天媒體都沒收到一點風聲的現場破解大賽上,兩輛用於演示的小黃車被抬到瞭演講臺上。
接著,黃正掏出瞭一款看上去與對講機一樣小的設備,小灰灰搗鼓瞭一下兩臺筆記本電腦,數瞭三秒,然後演講臺上的兩把鎖就滴答一聲開瞭! 
一把鎖引發的 OfO " 慘劇 "
這是怎麼回事?故事要從幾周前開始。
百度安全實驗室以進行前沿研究為主。有一天,百度安全的幾個研究員在某寶上逛,發現某寶上在賣各種共享單車的鎖、零部件什麼的。
好像很有意思的樣子,買兩把鎖過來玩玩吧。
然後,一不小心就買瞭一款 OfO 最新使用的鎖。
破解過自動售貨機、智能門鎖的安全研究員練就瞭一身過硬的開鎖技能。
黃正對雷鋒網宅客頻道編輯表示:" 這種鎖一般人確實拆解不瞭,因為芯片特別小,我們用特殊工具把裡面的關鍵芯片取瞭出來,花瞭一個星期進行瞭逆向分析,然後發現瞭一個大漏洞。"
這並不是一個容易的過程。
黃正、小灰灰並沒有這款鎖的源代碼,但是根據先前破解的經驗,他們決定先研究 OfO 的通信情況。
這個車鎖裡有一個 SIM 卡,通過 GPRS 的流量訪問服務器,發送的內容經過某算法加密。
找到這個算法後,他們在茫茫代碼中找到瞭一條關鍵的通道,在這條通道上,黃正、小灰灰終於發現瞭打開關鍵功能的大門。
黃正分析出瞭加密方式,又發現瞭加密犯的一個錯誤,利用這個錯誤,他們可以在用戶關鎖時,鎖和雲端的通訊過程中,成功劫取鎖和雲端通訊的信號。
一個關鍵信息點是,為瞭減少通訊,一輛共享單車鎖與雲端通訊時,比如,鎖車時,鎖會告訴雲端:" 寶寶我先睡瞭,你把下次開車的密碼告訴我,下次開車我就不打擾你瞭。"
然後,雲端就把密碼 " 預付 " 瞭。
黃正和小灰灰動的手腳是,讓車鎖在和雲端的通訊過程中,將車鎖信號劫持到自己的服務器上,從而把原來應該給車鎖的密碼修改成自己設定的任意密碼。
承包瞭這個地鐵口的共享單車
看上去,這僅僅是免費騎車的一個方式。
事情並沒有這麼簡單。
黃正沒在演講臺上告訴大傢的是,其實他們還可以在服務器端把車鎖與雲端的通訊過程中獲得密碼的機制修改成 " 不認識 " 雲端發送的正確密碼,但其他任意密碼都可打開車鎖。
這意味著,正兒八經的用戶反倒開不瞭鎖,其他別有用心的用戶反倒分分鐘開鎖!
難怪,小灰灰在演示時表示:我的服務器在主導一切,你的鎖成瞭我的鎖,你的車成瞭我的車,早上起來去地鐵,地鐵旁邊停的這一片 OfO 都被我承包瞭!
這兩個安全研究員開玩笑地建瞭個群,與另一位參與破解的同事表示:搞定!買漆去!
把 OfO 分分鐘塗成 UFO ,他們就可以不費什麼成本的創業瞭!
搗亂者的插曲
當然,也並非不費絲毫成本。
黃正展示瞭他們的關鍵工具:監聽信號的 " 對講機 "。事實上,這個裝備在以前雷鋒網宅客頻道的報道中也出現過,它就是發出 " 假信號 " 的 " 引路人 "。黃正告訴雷鋒網,這個裝備也不便宜,造價數千美元。
讓追求完美的小灰灰不開心的是,在他們的演示過程中,後臺出現瞭一個搗亂者,對方可能在用信號強大的某設備進一步劫持瞭車鎖的信號,試圖阻擋兩人的正常演示。
但是,兩人留瞭一個後招:此前他們曾在劫持信號後遠程替換瞭一個車鎖的固件,這個固件可以讓車鎖隻與他倆的設備通訊,而不認搗亂者的設備。
自此,OfO 的車鎖真的成瞭小灰灰和黃正的車鎖!
不知攻,焉知防。黃正告訴雷鋒網,這個漏洞涉及關鍵的加密協議,車廠修補比較復雜,如果替換新的加密協議,在更換協議的過程中,要註意協議的適配性,不然可能影響車鎖的正常通訊。車鎖廠商整體對安全重視低,應該多關註!
不然,千萬輛小車將成為別人的小車!
