Den mest berømte Mi Electric Scooter M365 fra Xiaomi es en af de mest populære el-scootere i øjeblikket. Dens fremragende konstruktion og pris gør produktet til en bestseller over hele verden, og som det er sædvanligt med disse succesfulde produkter, bliver de også i fokus for hackers opmærksomhed.
En sikkerhedsfejl i Xiaomi M365 tillader dens fjernbetjening
sikkerhedsgruppe Zimperium har udgivet en rapport, hvor de påviser det Xiaomis scooter lider af en sårbarhed, der giver dig mulighed for at tage fjernstyring af enheden og køre kommandoer uden at der kræves nogen legitimationsoplysninger til det. Ifølge hvad de siger, er brugerregistreringsprocessen kun nødvendig i den officielle applikation, men i en direkte forbindelse med enheden kræves ingen form for godkendelse, derfor kan kommandoer udføres frit.
Vores forskere var i stand til at hacke sig ind i en af de førende elektriske løbehjul – Xiaomi M365 – og effektivt låse, bremse og/eller accelerere løbehjulene for alle forbipasserende ryttere. Læs mere om opdagelsen fra proof-of-konceptet: https://t.co/w5kKAerEXJ pic.twitter.com/kcNSFuifDE
— ZIMPERIUM (@ZIMPERIUM) 12 af februar 2019
Når først den er forbundet til computeren, kunne angriberen tage fjernbetjening fra scooteren i en maksimal afstand på cirka 100 meter for at udføre kommandoer som f.eks skøjtelås o accelererer og bremser uden nogen åbenbar grund, handlinger, der utvivlsomt kan forårsage en ulykke, der påvirker både den person, der kører på scooteren, og alle andre i nærheden. For at gøre dette skulle malware forklædt som firmware installeres, en operation som scooterens Bluetooth-modul ikke overvåger på noget tidspunkt, så angriberen ville have fuldstændig frihed til at installere, hvad han ville. I videoen nedenfor, udgivet af Zimperium, kan du se, hvordan en applikation, der er oprettet til lejligheden af sikkerhedsgruppen, er i stand til at blokere el-scooteren på afstand.
Som rapporteret, Xiaomi har været opmærksom på dette problem i ugevis, og de arbejder i øjeblikket på en rettelse, der kommer i form af en systemopdatering. Alt tyder dog på, at opgaven ikke bliver let, da den bluetooth modul der er blevet berørt, afhænger af en tredjepartsproducent, så de bliver nødt til at arbejde sammen om at lancere en slags fælles løsning. For nu er dette al den information, der er kendt om det, så vi bliver nødt til at være forsigtige, før den mulige fremkomst af ondsindede applikationer, der tilskynder til denne type ugerning.
[RelatedNotice blank title=»Dette er de 5 elektriske løbehjul, du kan købe på Amazon»]https://eloutput.com/input/guide-compras/patinetes-electricos-amazon/[/RelatedNotice]
Hvordan undgår du hacket på din Xiaomi-scooter?
Desværre påvirker fejlen systemniveauet, så der er ingen måde at forhindre dem i at forbinde til scooteren eksternt. Det er nytteløst at etablere en kompleks adgangskode gennem den officielle applikation, da som vi tidligere har kommenteret, systemet kræver ikke nogen form for godkendelse når du laver en direkte forbindelse. Den eneste løsning for nu er at vente på, at producenten frigiver opdateringen med sikkerhedspatchen, så i mellemtiden skal du være forsigtig.
opdatering: Vi opdaterer artiklen med Xiaomis officielle udtalelser om sagen.
Xiaomi er opmærksom på den sårbarhed, som hackere med ondsindet hensigt kan udnytte til at forstyrre driften af Mi Electric Scooter. Så snart vi fandt ud af denne sårbarhed, har vi arbejdet på at rette den og fjerne alle uautoriserede applikationer. I mellemtiden er Xiaomis produkt- og sikkerhedsteam ved at forberede en OTA-opdatering, der vil være tilgængelig så hurtigt som muligt. Xiaomi værdsætter feedback fra vores brugere og sikkerhedssamfundet. Vi er forpligtet til konstant at forbedre os baseret på al feedback for at bygge bedre og sikrere produkter.
2 opdatering: Fra brugernes fællesskab mixx.io informere at sikkerhedsproblemet med Bluetooth-forbindelsen var en åben hemmelighed i mere end et år. Denne fejl blev brugt til at installere hjemmelavet firmware, der gjorde det muligt at øge skøjtens kraft, så opdagelsen virker måske ikke så ny. Zimperiums undersøgelser har dog vist alvoren af problemet og har tjent til at forstå, hvor langt man kan gå med en sådan adgang.
Derudover har denne bruger kommenteret en genial løsning, der ville blive brugt til at blokere fjernadgang til vores skate, da det ville være nok at forbinde skøjten med en enhed, så forbindelsen til enhver tid er blokeret (en anden enhed kunne ikke etablere forbindelsen), Det er også muligt at ændre navnet på enheden, så den udgiver sig for at være en telefon med en åben Bluetooth-forbindelse, noget der ville vildlede den mulige angriber.
[Tak til M4p3x for tippet]