Najpoznatiji Mi električni skuter M365 iz Xiaomi es jedan od najpopularnijih električnih skutera trenutka. Njegova izvrsna konstrukcija i cijena čine ovaj proizvod najprodavanijim u cijelom svijetu, a kao što je uobičajeno kod ovih uspješnih proizvoda, oni postaju i fokusom pozornost hakera.
Sigurnosni propust u Xiaomi M365 omogućuje njegovo daljinsko upravljanje
sigurnosna grupa Zimperij je objavio izvješće u kojem to pokazuju Xiaomijev skuter pati od ranjivosti koja vam omogućuje daljinsko upravljanje uređajem i pokrenuti naredbe bez ikakvih vjerodajnica potrebnih za to. Kako kažu, postupak registracije korisnika potreban je samo u službenoj aplikaciji, no u izravnom povezivanju s uređajem nije potrebna nikakva vrsta autentifikacije, pa se naredbe mogu izvršavati slobodno.
Naši su istraživači uspjeli hakirati jedan od vodećih električnih skutera – Xiaomi M365 – i učinkovito zaključati, zakočiti i/ili ubrzati skutere svih vozača u prolazu. Pročitajte više o otkriću iz koncepta dokaza: https://t.co/w5kKAerEXJ pic.twitter.com/kcNSFuifDE
— ZIMPERIUM (@ZIMPERIUM) 12 Veljača 2019
Nakon povezivanja s računalom, napadač bi mogao preuzeti daljinski upravljač od skutera na maksimalnoj udaljenosti od otprilike 100 metara za izvršavanje naredbi kao što su brava za klizanje o ubrzavanje i kočenje bez vidljivog razloga, radnje koje bi nedvojbeno mogle uzrokovati nesreću, utječući i na osobu koja vozi skuter i na bilo koga drugog u blizini. Da bi se to postiglo, trebalo bi instalirati zlonamjerni softver prerušen u firmware, što je operacija koju Bluetooth modul skutera ni u jednom trenutku ne nadzire, tako da bi napadač imao potpunu slobodu instalirati što god želi. U videu ispod, koji je objavio Zimperium, možete vidjeti kako aplikacija koju je sigurnosna grupa izradila za ovu priliku može blokirati električni skuter iz daljine.
Kako je objavljeno, Xiaomi je svjestan ovog problema tjednima i trenutno rade na popravku koji će doći u obliku ažuriranja sustava. No, sve govori da zadatak neće biti lak, budući da je bluetooth modul koji je pogođen ovisi o trećem proizvođaču, tako da će morati raditi zajedno kako bi pokrenuli neku vrstu zajedničkog rješenja. Za sada su to sve informacije koje se o tome znaju pa ćemo morati biti oprezni pred mogućom pojavom malicioznih aplikacija koje potiču ovakvu vrstu nedjela.
[RelatedNotice blank title=»Ovo je 5 električnih skutera koje možete kupiti na Amazonu»]https://eloutput.com/input/guide-compras/patinetes-electricos-amazon/[/RelatedNotice]
Kako izbjeći hakiranje vašeg Xiaomi skutera?
Nažalost, pogreška utječe na razinu sustava, tako da ne postoji način da ih spriječite da se daljinski povežu sa skuterom. Beskorisno je postavljati složenu lozinku putem službene aplikacije, jer kao što smo prethodno komentirali, sustav ne zahtijeva nikakvu vrstu provjere autentičnosti prilikom izravne veze. Jedino rješenje za sada je čekati da proizvođač objavi ažuriranje sa sigurnosnom zakrpom, pa u međuvremenu morate biti oprezni.
ažuriranje: Ažuriramo članak Xiaomijevim službenim izjavama o slučaju.
Xiaomi je svjestan ranjivosti koju hakeri sa zlom namjerom mogu iskoristiti kako bi poremetili rad Mi Electric Scootera. Čim smo saznali za ovu ranjivost, radili smo na njezinu popravku i uklanjanju svih neovlaštenih aplikacija. U međuvremenu, Xiaomijevi timovi za proizvode i sigurnost pripremaju OTA ažuriranje koje će biti dostupno što je prije moguće. Xiaomi cijeni povratne informacije naših korisnika i sigurnosne zajednice. Predani smo stalnom poboljšanju na temelju svih povratnih informacija kako bismo izradili bolje i sigurnije proizvode.
Ažuriranje 2: Od zajednica korisnika mixx.io obavijestiti da je sigurnosni problem Bluetooth veze bio javna tajna više od godinu dana. Ovaj je nedostatak iskorišten za instaliranje firmwarea domaće izrade koji je omogućio povećanje snage skejta, tako da se otkriće možda i ne čini tako novo. Međutim, studije Zimperiuma pokazale su ozbiljnost problema i pomogle su da se shvati koliko daleko se može ići s takvim pristupom.
Osim toga, ovaj korisnik je komentirao genijalno rješenje koje bi se koristilo za blokiranje daljinskog pristupa našem skateu, jer bi bilo dovoljno povezati skate s uređajem tako da je veza cijelo vrijeme blokirana (drugi uređaj ne bi mogao uspostavite vezu), Također je moguće promijeniti naziv uređaja tako da se pretvara da je telefon s otvorenom Bluetooth vezom, nešto što bi zavaralo mogućeg napadača.
[Hvala M4p3x na savjetu]