小黃車給人們的出行帶來了方便,針對小黃車開鎖的安全風險,小黃車也在調整著小黃車鎖具的安全策略。不過,有一點大家都知道,從一開始,小黃車在開鎖方面就一直存在著安全漏洞。
我們先看第一代鎖。這一代鎖使用了固定開鎖密碼,所以,人們可以取得密碼之後幾乎是可以終身使用。到目前為止,第一代鎖的小黃車已經不多了。但是,瞭解這種一代鎖的人,經常可以騎著小黃車免費使用一天、或者持續使用下去。
第二代鎖的小黃車是目前最多的,使用了智能鎖,雖然改變了原來第一代鎖的固定密碼的安全漏洞,實現了一次一密,但依然還是面臨太多的安全風險。
2017年,9月6日,百度安全實驗室的兩名專家日前成功實現遠程截獲ofo密碼,實現開鎖,用時在分秒之間。ofo團隊就此事回應稱,對百度安全實驗室的關注表示感謝,並且已經和百度安全團隊就技術上細節問題進行交流。得出的結論是目前這項“黑技術”屬於技術討論,不具備日常應用場景的實用性,對自家的解鎖系統和用戶體驗沒啥影響。簡而言之,就是技術很牛我承認,但是我不care。
我們先不論小黃車是否對這個安全風險關心。隨著安全問題的頻繁與複雜,小黃車二代鎖的問題在安全圈中的一直被熱議,業務的安全防禦確實很差。為什麼這麼說呢?按照百度安全實驗室破解小黃車的思路,引石老王帶大家分析一下第二代鎖小黃車的安全風險:
小黃車二代鎖的主要風險有如下3點:
風險1、密碼被劫持、篡改風險。 用戶關鎖時,業務雲端與車鎖之間的通訊數據存在劫持風險。黑客可以取得開鎖密鑰,也可以修改密鑰發送。
風險2、端點身份認證風險。用戶開鎖時,黑客可冒充業務雲端,發送開鎖密碼到手機端,實現開鎖。
風險3、開鎖指令被劫持、篡改風險。通過對開鎖密碼的正確性判別進行開鎖指令發送,黑客中途劫持篡改。
基於以上的風險,小黃車二代鎖存在的安全隱患主要存在的問題有:
問題1、身份鑑權。雲端和車鎖的相互認證缺失。
問題2、數據安全防篡改。存在截取可能性。
問題3、安全策略隱患。關鎖時把開鎖口令預置。
當然,對於第二代鎖具的小黃車來說,車鎖的密碼數字只有1、2、3、4四個數字組成。如果採用暴力破解,花點時間就可以實現對小黃車的解鎖,因為按照排列組合來講,這4個數字組成的密碼最多也就256個。
面對二代鎖的安全風險,引石老王的研究團隊建議小黃車,不要使用口令來實現開鎖,口令作為數據來講,黑客破解的風險很大,應該將開鎖的動作與業務系統中的開鎖指令結合起來,使用遠程開鎖指令來打開車鎖,用技術的手段實現開鎖指令的認證授權。這樣,無論黑客如何入侵業務,哪怕拿到了開鎖指令,那也同樣無法使用讓智能鎖打開。
如上圖,引石老王安全團隊使用自有知識產權的PK方案實現小黃車遠程開鎖的安全。開鎖命令是基於業務來產生的,只有業務發送開鎖命令,才會產生對開鎖指令的防禦。這也是引石老王團隊的主動防禦思維,讓業務系統建立自主安全的主動防禦體系,實現業務與安全的融合。面對今後物聯網、人工智能技術的告訴發展,主動防禦將會成為安全防禦的主流。
引石老王:從事信息安全工作20年,國內首批商業密碼從業人員,國家商業密碼應用的參與者與見證者。專注物聯網、人工智能應用的遠程控制指令的加固授權,致力於系統的反劫持防禦與信息安全反黑。
關注引石老王,為您解讀安全與高科技,提高安全意識,保障個人信息安全。歡迎關注交流、留言探討,期待與您的互動!
閱讀更多 引石老王 的文章
