剛剛，ofo 共享單車又被破解了！百度安全技術小哥是如何做到的？

ofo 這回又該愁了。

繼 ofo 第一代機械鎖被曝存在「記住密碼就能免費騎」漏洞后，最新一代 ofo 電子鎖也被攻破了。

今天（2017年9月6日）上午，在一個名為 「Xpwn 未來安全盛會」的黑客大會上，百度安全實驗室的研究員小哥高樹鵬（業內花名：小灰灰）和黃正展示了「馴服」 ofo 小黃車最新一代電子鎖的技術。

呃不不不不，放錯圖了不好意思，這是第一代機械鎖，我們今天說的是第二代電子鎖。

一人，一台電腦，一個簡單的設備，不到1分鐘，咔噠一聲響，車鎖被打開。

淺黑科技謝幺有幸觀看了大會現場，並第一時間勾搭上了百度安全實驗室的小灰灰和黃正本人。

本文將讓你看懂攻破 ofo 小黃車背後的技術原理和故事。

Let's Rock ！

1.為什麼選擇的對象是OFO小黃車而不是別的 ？

小灰灰：共享腳踏車最近火得不行，作為我們生活中最常見的智能設備之一，自然就成為我們研究的對象了。（翻譯：啥火研究啥）

選擇ofo，是因為我們覺得 ofo 是目前市場佔有率是 Top1，所以就拿它作為目標了。做技術研究當然要選擇影響範圍最廣的產品，同時也是對我們技術實力的證明。

比如今天上半年，百度安全實驗室在 Geekpwn 大會上還「研究」過某款廣泛應用於自如、小豬、途家等公寓的智能門鎖，也是市場佔有率第一的。

謝幺：搞定一個小眾的設備，都不好意思拿出來說，是這個意思嗎？

小灰灰：你這個人啊，瞎說啥大實話？！不過話說回來，這可能是第一個影響千萬級單體設備的破解。

2．過程用到了哪些技術原理，大致流程是怎樣的呢？

ofo 和摩拜等共享腳踏車的電子鎖里都有SIM模塊（類似於我們手機里裝的SIM卡），用於和雲伺服器通信。

但是 ofo 和摩拜的通信原理不一樣：

摩拜有發電裝置，所以電子鎖可以一直和伺服器保持連通； ofo 的沒有發電花鼓，為了省電，它在正常情況下不和服務端通信，只有在上鎖的一瞬間和伺服器發生短暫通信。

大致場景是這樣子滴 ↓

我們（百度安全實驗室）利用一台小型網路信號嗅探設備，截獲了車輛和雲伺服器之間的通信，發現通信做了強加密。

加密后，雲伺服器變成了不知所云 ▼

於是我們利用逆向工程技術，分析出了加密協議的弱點，從而解密了經通信協議加密的數據。

（謝幺：咳咳……通俗解釋就是：他們從萬能的某寶買到了一個小黃車的電路板模塊，皮鞭滴蠟嚴刑拷打，終於逼問出了它和伺服器的接頭暗號和交流方式。）

成功解密了通信協議之後，我（小灰灰）立馬就想到了4種馴服 ofo 腳踏車的方法：

第一式：佯裝還車術

既然我們已經搞懂了腳踏車和伺服器的通信協議，那麼只要模擬小黃車發出一段鎖車信號，就能欺騙 ofo 伺服器，讓它誤以為用戶已經還車。

接下來你只要不鎖車，就可以隨便騎啦！

不過這種攻擊手法還是需要花一塊錢來解鎖，不夠高級。

第二式：密碼攔截術

我們知道，最新的小黃車電子鎖每一次還車都會自動更換密碼。它的實現原理是這樣的：

每一次鎖車，腳踏車都向伺服器發起請求，詢問下一次密碼是多少，伺服器會返回腳踏車下一次的密碼，比如2134。當有用戶想解鎖該輛腳踏車，伺服器再把密碼2134通過手機APP下發給用戶。

按照這個思路，只要我站在一個正在還車的用戶旁邊，利用通信嗅探設備截獲這段通信數據，就能直接拿到下一次解鎖密碼。

這種方法可以不花一分錢解鎖小黃車，但需要等別人還車才能用，還是不夠高級。

所以我想到了第三招：

第三式：誤導小黃車大法

既然小黃車的密碼由伺服器下發，那我也可以偽裝成 ofo 的伺服器，給腳踏車下發一個特定的密碼，比如：1111，然後用1111去解鎖車輛了。

同樣，我也可以把設備放在捷運口，不斷發出指令，就能把附近所有的小黃車密碼都變成1111，讓 ofo 公司失去對小黃車的控制權。

這還不是最絕的。

第四終極奧義：強制更新，完全控制小黃車

小黃車的電子鎖里有一個 ROM 固件，相當於手機的系統。

我們通過分析找到了一個辦法，可以偽裝成伺服器給小黃車下發一個固件版本更新，然後把我們自己做的 ROM 固件包刷進去，這樣就能獲得電子鎖的完整控制權。（相當於給電子鎖重裝了一套系統）

正常情況下更新固件需要做服務端簽名校驗，不允許隨意刷入其他非官方固件。然而，我們發現 ofo 存在一個 OTA 漏洞，並沒有做校驗，所以……

刷完固件之後，這輛車除了印著 ofo 的 logo，長得是黃色之外，就再也和 ofo 公司無關了。—— 它再也不受 ofo 的控制了。

如果我願意，完全可以控制一大堆 ofo 小黃車，把它們刷成綠色，然後自己搭建一個伺服器，寫一個APP，然後零成本運營一家共享腳踏車公司來。

現場演講PPT ↓

（小灰灰：好吧我只是開玩笑的，不過，不法分子確實可以利用這種手法控制大量腳踏車鎖，想想都可怕。）

3.不識相的問一句，百度安全實驗室把 ofo 的鎖攻破了，不怕 ofo 會來懟你們么？（挖鼻）

小灰灰：啊？為什麼要來懟我們？（黑人問號臉）我們是本著安全研究的目的去做的，幫他們發現了程序漏洞，避免被別有用心的人利用，薅羊毛什麼的。維護了他們的利益啊和用戶的權益啊。

比如，最近ofo正在搞七夕集卡活動，集齊卡片可以換77元錢，如果壞人利用這個漏洞去大量集卡，就可能給 ofo 帶來巨額的緊急損失，並且干擾正常的活動秩序，讓用戶無法正常參與。

後期我們（百度安全）也會積極配合廠商修復漏洞，希望通過百度的安全能力為更多智能設備廠商解決安全問題。

謝幺：那看樣子我想錯了，他們不僅不懟你，還應該來感謝你們了……

4.其他品牌的鎖存在類似的安全問題嗎？

不光是共享腳踏車，很多物流、家居等其他領域也有使用類似的智能鎖，我們研究了市面上很多智能鎖，發現這類隱患是廣泛存在的，

現場PPT展示的大量同類型車鎖 ↓

雖然我們攻破了 ofo 的電子鎖，但發現其實 ofo 的車鎖在安全防護上做得已經是同類產品中比較好的了。

市面上部分品牌車鎖，甚至沒有對服務端通訊做加密，直接使用信號嗅探裝置就能獲得車鎖和伺服器的通訊內容。

甚至，在和一些鎖廠的交流中，我們發現不少鎖廠的工作人員對的網路安全意識相對缺乏，他們並不太相信有人能截獲並解開通信流量。

所以這次展示也算是輕敲一下網路安全的警鐘吧，未來智能鎖的應用會越來越普及，也希望鎖在智能化的同時，網路安全性也能跟上。

謝幺：期待看到你們的下一次研究。

謝謝~

好的本次勾搭到此結束，大家還有什麼問題，請在留言區繼續……

- 本期完 -