勁爆：OfO小黃車最新款鎖被破解，影響千萬共享單車｜黃正獨家揭秘

OfO小黃車的最新款鎖被兩個黑客現場破解了！而且，短期內這個漏洞可能修補起來很困難。

9月6日，在極智未來XPwn上，上演了可能讓 OfO 懵逼的一幕。

「共享腳踏車鎖廠很多，哪家實力最強？」

「我們決定拿最大的鎖廠Nokelock最新款的智能馬蹄鎖試試。截止5月，共有515萬把投放量。」

百度安全的安全研究員黃正和小灰灰如是說。

首當其衝的是大面積鋪了這款鎖的 OfO 。

在這場連破解前一天媒體都沒收到一點風聲的現場破解大賽上，兩輛用於演示的小黃車被抬到了演講台上。

接著，黃正掏出了一款看上去與對講機一樣小的設備，小灰灰搗鼓了一下兩台筆記本電腦，數了三秒，然後演講台上的兩把鎖就滴答一聲開了！

一把鎖引發的 OfO 「慘劇」

這是怎麼回事？故事要從幾周前開始。

百度安全實驗室以進行前沿研究為主。有一天，百度安全的幾個研究員在某寶上逛，發現某寶上在賣各種共享腳踏車的鎖、零部件什麼的。

好像很有意思的樣子，買兩把鎖過來玩玩吧。

然後，一不小心就買了一款 OfO 最新使用的鎖。

破解過自動售貨機、智能門鎖的安全研究員練就了一身過硬的開鎖技能。

黃正對雷鋒網宅客頻道編輯表示：「這種鎖一般人確實拆解不了，因為晶元特別小，我們用特殊工具把裡面的關鍵晶元取了出來，花了一個星期進行了逆向分析，然後發現了一個大漏洞。」

這並不是一個容易的過程。

黃正、小灰灰並沒有這款鎖的源代碼，但是根據先前破解的經驗，他們決定先研究OfO的通信情況。

這個車鎖里有一個SIM卡，通過GPRS的流量訪問伺服器，發送的內容經過某演算法加密。

找到這個演算法后，他們在茫茫代碼中找到了一條關鍵的通道，在這條通道上，黃正、小灰灰終於發現了打開關鍵功能的大門。

黃正分析出了加密方式，又發現了加密犯的一個錯誤，利用這個錯誤，他們可以在用戶關鎖時，鎖和雲端的通訊過程中，成功劫取鎖和雲端通訊的信號。

一個關鍵信息點是，為了減少通訊，一輛共享腳踏車鎖與雲端通訊時，比如，鎖車時，鎖會告訴雲端：「寶寶我先睡了，你把下次開車的密碼告訴我，下次開車我就不打擾你了。」

然後，雲端就把密碼「預付」了。

黃正和小灰灰動的手腳是，讓車鎖在和雲端的通訊過程中，將車鎖信號劫持到自己的伺服器上，從而把原來應該給車鎖的密碼修改成自己設定的任意密碼。

看上去，這僅僅是免費騎車的一個方式。

事情並沒有這麼簡單。

黃正沒在演講台上告訴大家的是，其實他們還可以在伺服器端把車鎖與雲端的通訊過程中獲得密碼的機制修改成「不認識」雲端發送的正確密碼，但其他任意密碼都可打開車鎖。

這意味著，正兒八經的用戶反倒開不了鎖，其他別有用心的用戶反倒分分鐘開鎖！

難怪，小灰灰在演示時表示：我的伺服器在主導一切，你的鎖成了我的鎖，你的車成了我的車，早上起來去捷運，捷運旁邊停的這一片OfO 都被我承包了！

這兩個安全研究員開玩笑地建了個群，與另一位參與破解的同事表示：搞定！買漆去！

把 OfO 分分鐘塗成 UFO ，他們就可以不費什麼成本的創業了！

搗亂者的插曲

當然，也並非不費絲毫成本。

黃正展示了他們的關鍵工具：監聽信號的「對講機」。事實上，這個裝備在以前雷鋒網宅客頻道的報道中也出現過，它就是發出「假信號」的「引路人」。黃正告訴雷鋒網，這個裝備也不便宜，造價數千美元。

讓追求完美的小灰灰不開心的是，在他們的演示過程中，後台出現了一個搗亂者，對方可能在用信號強大的某設備進一步劫持了車鎖的信號，試圖阻擋兩人的正常演示。

但是，兩人留了一個后招：此前他們曾在劫持信號后遠程替換了一個車鎖的固件，這個固件可以讓車鎖只與他倆的設備通訊，而不認搗亂者的設備。

自此，OfO 的車鎖真的成了小灰灰和黃正的車鎖！

不知攻，焉知防。黃正告訴雷鋒網，這個漏洞涉及關鍵的加密協議，車廠修補比較複雜，如果替換新的加密協議，在更換協議的過程中，要注意協議的適配性，不然可能影響車鎖的正常通訊。車鎖廠商整體對安全重視低，應該多關注！

不然，千萬輛小車將成為別人的小車！