Kuuluisin Mi Electric Scooter M365 Xiaomilta es yksi suosituimmista sähköskoottereista tämän hetken. Sen erinomainen rakenne ja hinta tekevät tuotteesta bestsellerin kaikkialla maailmassa, ja kuten näille menestyneille tuotteille on tavallista, niistä tulee myös hakkerien huomio.
Xiaomi M365:n tietoturvavirhe mahdollistaa sen kauko-ohjauksen
turvaryhmä Zimperium on julkaissut raportin, jossa he osoittavat sen Xiaomin skootteri kärsii haavoittuvuudesta, jonka avulla voit ottaa laitteen etäohjauksen ja suorita komentoja ilman siihen tarvittavia tunnistetietoja. Sanoman mukaan käyttäjän rekisteröintiprosessi on välttämätön vain virallisessa sovelluksessa, mutta suorassa yhteydessä laitteeseen ei vaadita minkäänlaista todennusta, joten komennot voidaan suorittaa vapaasti.
Tutkijamme onnistuivat murtautumaan yhteen johtavista sähköskoottereista – Xiaomi M365:een – ja lukitsemaan, jarruttamaan ja/tai kiihdyttämään tehokkaasti kaikkien ohikulkijoiden skoottereita. Lue lisää löydöstä proof-of-konseptista: https://t.co/w5kKAerEXJ pic.twitter.com/kcNSFuifDE
- ZIMPERIUM (@ZIMPERIUM) 12 helmikuun 2019
Kun hyökkääjä on yhdistetty tietokoneeseen, se voi ottaa kauko-ohjain skootterista enintään noin 100 metrin etäisyydellä komentojen suorittamiseksi, kuten luistin lukko o kiihdyttää ja jarruttaa ilman näkyvää syytä, toimet, jotka voivat epäilemättä aiheuttaa onnettomuuden, joka vaikuttaa sekä skootterilla ajavaan henkilöön että kaikkiin muihin lähellä oleviin. Tätä varten on asennettava laiteohjelmistoksi naamioitu haittaohjelma, jota skootterin Bluetooth-moduuli ei valvo milloin tahansa, joten hyökkääjällä olisi täysi vapaus asentaa mitä tahansa. Alla olevalla Zimperiumin julkaisemalla videolla näet, kuinka vartioryhmän tilaisuuteen luoma sovellus pystyy estämään sähköskootterin kaukaa.
Kuten raportoitu, Xiaomi on ollut tietoinen tästä ongelmasta viikkoja, ja he työskentelevät parhaillaan korjauksen parissa, joka tulee järjestelmäpäivityksen muodossa. Kaikki kuitenkin osoittaa, että tehtävä ei tule olemaan helppo, koska Bluetooth -tekniikka riippuu kolmannen osapuolen valmistajasta, joten heidän on työskenneltävä yhdessä jonkinlaisen yhteisen ratkaisun käynnistämiseksi. Toistaiseksi tämä on kaikki tiedossa oleva tieto, joten meidän on oltava varovaisia, ennen kuin mahdollisia haitallisia sovelluksia, jotka rohkaisevat tällaisiin väärinkäytöksiin, ilmaantuu.
[RelatedNotice blank title=»Nämä ovat 5 sähköskootteria, jotka voit ostaa Amazonista»]https://eloutput.com/input/guide-compras/patinetes-electricos-amazon/[/RelatedNotice]
Kuinka välttää Xiaomi-skootterisi hakkerointi?
Valitettavasti virhe vaikuttaa järjestelmätasoon, joten ei ole mitään keinoa estää niitä muodostamasta etäyhteyttä skootteriin. On hyödytöntä luoda monimutkaista salasanaa virallisen sovelluksen kautta, koska kuten olemme aiemmin kommentoineet, järjestelmä ei vaadi minkäänlaista todennusta kun muodostat suoran yhteyden. Ainoa ratkaisu toistaiseksi on odottaa, että valmistaja julkaisee päivityksen tietoturvakorjauksen kanssa, joten sillä välin sinun on oltava varovainen.
päivitys: Päivitämme artikkelin Xiaomin virallisilla lausunnoilla tapauksesta.
Xiaomi on tietoinen haavoittuvuudesta, jota pahantahtoiset hakkerit voivat hyödyntää häiritäkseen Mi Electric Scooterin toimintaa. Heti kun saimme tietää tästä haavoittuvuudesta, olemme pyrkineet korjaamaan sen ja poistamaan kaikki luvattomat sovellukset. Samaan aikaan Xiaomin tuote- ja tietoturvatiimit valmistelevat OTA-päivitystä, joka on saatavilla mahdollisimman pian. Xiaomi arvostaa palautetta käyttäjiltämme ja tietoturvayhteisöltä. Olemme sitoutuneet parantamaan jatkuvasti kaiken palautteen perusteella luodaksemme parempia ja turvallisempia tuotteita.
2-päivitys: Alkaen käyttäjien yhteisöä mixx.io ilmoittaa että Bluetooth-yhteyden tietoturvaongelma oli avoin salaisuus yli vuoden ajan. Tätä vikaa käytettiin kotitekoisten laiteohjelmistojen asentamiseen, jotka mahdollistivat luistimen tehon lisäämisen, joten löytö ei ehkä vaikuta niin uudelta. Zimperiumin tutkimukset ovat kuitenkin osoittaneet ongelman vakavuuden ja auttaneet ymmärtämään, kuinka pitkälle tällaisella pääsyllä voidaan mennä.
Lisäksi tämä käyttäjä on kommentoinut nerokasta ratkaisua, jolla estetään etäpääsy luistimellemme, koska luistimen yhdistäminen laitteeseen riittäisi niin, että yhteys on koko ajan estetty (toinen laite ei voinut muodostaa yhteyden), Se voi myös muuttaa laitteen nimen niin, että se teeskentelee puhelimeksi, jossa Bluetooth-yhteys on auki, mikä johtaisi mahdollisen hyökkääjän harhaan.
[Kiitos M4p3x vinkistä]