我在公海的一艘游轮上,目睹了一次黑客对共享单车的入侵

· May 15, 2017

游轮、公海,光看这两个词就容易让人浮想联翩。在香港电影里,到了公海一般都会上演黄赌毒和枪战的桥段。不过时代进步了,想搞破坏完全没必要掏枪了,有一台电脑就行。

今年的国际安全极客大赛年中赛 GeekPwn 选址在云顶梦号游轮上进行,当船从香港出发经过一夜航行开到公海时,这群白帽子黑客开始向我们表演对各种设备的入侵。有人开玩笑说,这么多「黑客」一起搞事情,美国 FBI 可能已经盯上这艘船了。

genting-dream

这次 GeekPwn 上被「入侵」的设备包括路由器、平衡车、儿童智能手表、家用智能门锁、共享单车等等,和 GeekCar 关注点重合的,无疑就是共享单车了。

在共享单车兴起没多久时我就在想,这么多联网设备,万一被入侵了,可就真的成做公益了。可以肯定的是,各大共享单车公司一定在安全层面下了不少功夫,不过,也有反例。

昵称为「tyy」的一名女程序员,就为我们现场演示了如何入侵别人的账户,进而解锁一辆单车。由于部分共享单车存在云端逻辑漏洞,通过篡改输入参数,即可直接访问、控制他人账号,批量获得所有账号,获取用户的个人账户信息(包括余额、年龄、手机号、骑行记录等)。

1

对用户来说,除了隐私之外,还会损失钱,黑客可以实现登录自己的账号扫码开锁,扣除受害者余额(虽然钱不多…)。骑行完成后,受害者在自己手机里也能看到多了一次骑行历史。

由于是在游轮上演示,所以 tyy 用远程连线的方式,让远在上海的伙伴帮忙解锁单车,而 tyy 则在现场来入侵他人账户,中招的共享单车品牌包括小鸣单车、永安行、享骑和百拜。

微信截图_20170515193153

具体操作办法是:构建虚假网络伪装成免费 Wi-Fi,只要用户连接并打开共享单车 App,tyy 就能获得想要的数据(前提条件就是入侵者和受害者需要再同一 Wi-Fi 下。)

不过,不同公司存在的漏洞不同,tyy 说,百拜和小鸣不需要在同一 Wi-Fi 下即可实现入侵。

微信截图_20170515192803

关于 tyy 的攻击演示,GeekPwn 活动发起人 KEEN 公司 CEO 王琦说:「(这次攻击)没有门槛,黑掉他们太容易了,这代表一类企业面临的普遍问题。」

也就是说,行业在飞速发展的同时,部分公司的安全防范并没跟上。在我看来,一个产品的安全程度,很大程度上取决于「老板」,毕竟招一个安全团队挺贵的…

其实,tyy 也曾研究过摩拜,但在 tyy 发现漏洞后,摩拜当天就修复了漏洞。

通过技术手段在共享单车上玩一些花样,除了 tyy 这种直接入侵账户的行为之外,还有更刺激的,就是「薅羊毛」。(薅羊毛指通过各公司的促销活动,获取利益的行为,该群体被称为「羊毛客」)

众所周知,ofo 曾推出过一段时间的红包车活动。不过由于 ofo 单车当时还没有智能锁,所以有人就通过电脑来模拟出红包区的地理位置,然后输入已掌握的车牌号,就能领红包了(整个过程羊毛客根本不用出门)。如果是懂点儿技术的人,完全可以大批量获取红包。能捞多少钱,完全看技术。

据说早期一个红包车有几十元,如果像下面这张图中搞「群控」,一天获利应该很可观。

v2-76a4d9b227ab94d115aa3446373f06a0_b v2-2c863a5e0fd9228dbb8cfd40a424bb38_b

在这个过程中,ofo 的防范措施就是把已经上了智能锁的 62、63 开头的单车剔除在红包车之外,对抢红包的用户没有筛选。

从四家共享单车公司被入侵,ofo 被薅羊毛这两件事来看,当共享单车行业已经被资本推着走的时候,如果在短时间之内没有构建起「技术」的护城河,被人薅羊毛是次要的,很可能连自己都保全不了。 我们前面提到的 tyy,本职工作是一名程序员,一个人在一个月的时间里研究了 7 款共享单车,4 款存在安全漏洞。如果是一波专门搞黑产或者受人雇佣的黑客团队,想要击垮一个没有防范的共享单车公司也是有可能的。

本质上,带智能锁的共享单车就是个物联网设备,需要时刻联网。只要联网,就有可能存在被入侵的可能,共享单车公司能做的,就是提高入侵难度,这是个技术活儿。所以共享单车领域的新玩家们在疯狂占领大街的时候,别忘了招安全工程师。

两个有意思的细节

说完和共享单车有关的,再来聊点别的,让你感受一下网络世界套路有多深。

下面这位战斗民族的哥们儿叫 George Nosenko,他发现了 Cisco Catalyst 2960 交换机存在的漏洞。他在现场几乎瞬间拿到了该交换机的最高权限,可以修改最高权限用户密码,并将某个端口流量完全同步到另一个,监控使用者信息。

DSC07254

当主办方让 George 提前一天演示一下攻击效果时,他说太困了就回房睡觉去了。随性的战斗民族小哥,第二天穿了酒店的拖鞋上台演示。就这样,George 为我们演示了可以入选美国 NSA「武器库」的一次攻击。

自信随性的他,最终获得了最高的 25 万元奖金。

还有两位哥们儿是百度的安全工程师谢海阔和黄正,他俩选择入侵「果加互联网智能锁」,这种锁多用在酒店、公寓等场所。他们可以攻破任何使用该型号智能锁的门,不需要提前知道任何住户信息。

就是下图中穿着凉鞋蓝上衣这哥们儿,拿着手机逛了一遍小区,就拿到了所有使用智能锁住户的密码。相信他,没干任何坏事。

DSC07283

说完这些黑客技术多么神奇,必须要提出的是,他们都是供职于互联网公司的程序员,属于不干坏事的白帽子选手,有的人还专门和那些搞黑产的「黑帽子」作斗争。对了,GeekPwn 大赛之后,这些漏洞都会提交给相应的公司以供修复。

如今,从防盗门到自行车,能联网的都联网了,风险也随之而来。希这些设备「上网」的时候,注意安全,也祝大家安全。


原创声明: 本文为 GeekCar 原创作品,欢迎转载。转载时请在文章开头注明作者和「来源自 GeekCar」,并附上原文链接,不得修改原文内容,谢谢合作!

欢迎关注 GeekCar 微信公众号: GeekCar 极客汽车(微信号:GeekCar)& 极市(微信号:geeket)。

 

1


Related Posts 相关文章

发表评论

电子邮件地址不会被公开。 必填项已用*标注