小黄车给人们的出行带来了方便,针对小黄车开锁的安全风险,小黄车也在调整着小黄车锁具的安全策略。不过,有一点大家都知道,从一开始,小黄车在开锁方面就一直存在着安全漏洞。
我们先看第一代锁。这一代锁使用了固定开锁密码,所以,人们可以取得密码之后几乎是可以终身使用。到目前为止,第一代锁的小黄车已经不多了。但是,了解这种一代锁的人,经常可以骑着小黄车免费使用一天、或者持续使用下去。
第二代锁的小黄车是目前最多的,使用了智能锁,虽然改变了原来第一代锁的固定密码的安全漏洞,实现了一次一密,但依然还是面临太多的安全风险。
2017年,9月6日,百度安全实验室的两名专家日前成功实现远程截获ofo密码,实现开锁,用时在分秒之间。ofo团队就此事回应称,对百度安全实验室的关注表示感谢,并且已经和百度安全团队就技术上细节问题进行交流。得出的结论是目前这项“黑技术”属于技术讨论,不具备日常应用场景的实用性,对自家的解锁系统和用户体验没啥影响。简而言之,就是技术很牛我承认,但是我不care。
我们先不论小黄车是否对这个安全风险关心。随着安全问题的频繁与复杂,小黄车二代锁的问题在安全圈中的一直被热议,业务的安全防御确实很差。为什么这么说呢?按照百度安全实验室破解小黄车的思路,引石老王带大家分析一下第二代锁小黄车的安全风险:
小黄车二代锁的主要风险有如下3点:
-
风险1、密码被劫持、篡改风险。用户关锁时,业务云端与车锁之间的通讯数据存在劫持风险。黑客可以取得开锁密钥,也可以修改密钥发送。
风险2、端点身份认证风险。用户开锁时,黑客可冒充业务云端,发送开锁密码到手机端,实现开锁。
风险3、开锁指令被劫持、篡改风险。通过对开锁密码的正确性判别进行开锁指令发送,黑客中途劫持篡改。
基于以上的风险,小黄车二代锁存在的安全隐患主要存在的问题有:
问题1、身份鉴权。云端和车锁的相互认证缺失。
问题2、数据安全防篡改。存在截取可能性。
问题3、安全策略隐患。关锁时把开锁口令预置。
当然,对于第二代锁具的小黄车来说,车锁的密码数字只有1、2、3、4四个数字组成。如果采用暴力破解,花点时间就可以实现对小黄车的解锁,因为按照排列组合来讲,这4个数字组成的密码最多也就256个。
面对二代锁的安全风险,引石老王的研究团队建议小黄车,不要使用口令来实现开锁,口令作为数据来讲,黑客破解的风险很大,应该将开锁的动作与业务系统中的开锁指令结合起来,使用远程开锁指令来打开车锁,用技术的手段实现开锁指令的认证授权。这样,无论黑客如何入侵业务,哪怕拿到了开锁指令,那也同样无法使用让智能锁打开。
如上图,引石老王安全团队使用自有知识产权的PK方案实现小黄车远程开锁的安全。开锁命令是基于业务来产生的,只有业务发送开锁命令,才会产生对开锁指令的防御。这也是引石老王团队的主动防御思维,让业务系统建立自主安全的主动防御体系,实现业务与安全的融合。面对今后物联网、人工智能技术的告诉发展,主动防御将会成为安全防御的主流。
引石老王:从事信息安全工作20年,国内首批商业密码从业人员,国家商业密码应用的参与者与见证者。专注物联网、人工智能应用的远程控制指令的加固授权,致力于系统的反劫持防御与信息安全反黑。
关注引石老王,为您解读安全与高科技,提高安全意识,保障个人信息安全。欢迎关注交流、留言探讨,期待与您的互动!
閱讀更多 引石老王 的文章
