ofo小黃車開鎖存漏洞 共用單車變成免費單車

今年年初，以ofo為代表的多個品牌共用單車進入西安市場，不得不說共用單車給西安市民帶來了便利。使用ofo小黃車的費用是每半小時1元，雖然收費不高，但仍有人利用小黃車機械鎖的bug來免費騎車，

甚至將密碼分享給他人，把共用單車變成了免費單車。

漏洞1 記住密碼可無限次免費騎車

Ofo小黃車使用了原始的機械密碼鎖，使用者通過掃描二維碼可獲得一個4位元數密碼，每輛小黃車都有一個對應密碼，且這個4位元數的密碼永遠不變。

使用者開鎖後獲得這一密碼，以後就可以一直免費騎同一輛小黃車。有些用戶為了能一直免費騎車，將小黃車推進自己住的社區甚至放在家裡，供自己獨享。

有些用戶使用小黃車結束後忘記撥亂密碼鎖，之後的使用者不需要密碼就能開鎖用車，經常有小學生利用這一漏洞騎車。

記住密碼就可以無限次免費騎車，還有使用者根據這個bug建立了分享密碼的扣扣群，

美其名曰“獨樂了不如眾樂樂”。

漏洞2 開鎖後報修可免費騎車

當小黃車出現被損壞的情況，可直接在ofo共用單車app內進行報修，而有一些用戶發現了其中存在的漏洞：當掃描二維碼獲取4位元密碼後，即可在app裡報修，這樣用戶的所在帳戶不會扣費，

同時他還獲得了密碼，可以無限次免費騎車了。

為免費騎車而報修，貪圖這種小便宜實際上卻增加了運維師傅的工作量。他們找到的所報修車輛明明可正常使用，而真正有故障的車輛卻可能得不到及時修理。

漏洞3 機械鎖鬆動後可根據痕跡摸索出密碼

進駐西安的共用單車品牌有ofo、摩拜、酷騎等，除了ofo為機械密碼鎖外，摩拜、酷騎配備了智能鎖，即每次掃碼獲得密碼都不一樣。而機械鎖在使用過一段時間後會鬆動、磨損，而一些沒有身份證無法進行app認證的小學生利用了這一漏洞，五分鐘打開一輛ofo的機械鎖對他們來說不是難事，這種技巧更是在小學生範圍裡越傳越廣，成為巨大的隱患。

上述3個漏洞，讓ofo在使用中出現了各種“不文明”行為，

甚至安全問題。對ofo來說，當務之急是儘快修復bug，提高單車的安全性能，不但能避免經濟損失，也能杜絕用車中的安全隱患；而對我們大多數使用者來說，文明用車，遵守使用規則，才是“共用單車”能夠繼續發展的關鍵。

編輯：靳聰