Yang paling terkenal Skuter Listrik Mi M365 dari Xiaomi es salah satu skuter listrik paling populer saat ini. Konstruksi dan harganya yang luar biasa menjadikan produk ini terlaris di seluruh dunia, dan seperti biasa dengan produk-produk sukses ini, mereka juga menjadi fokus perhatian hacker.
Cacat keamanan di Xiaomi M365 memungkinkan kendali jarak jauhnya
kelompok keamanan Zimperium telah menerbitkan laporan di mana mereka menunjukkan hal itu Skuter Xiaomi menderita kerentanan yang memungkinkan Anda mengambil kendali jarak jauh perangkat dan menjalankan perintah tanpa kredensial yang diperlukan untuk itu. Menurut apa yang mereka katakan, proses pendaftaran pengguna hanya diperlukan dalam aplikasi resmi, namun, dalam koneksi langsung dengan perangkat, tidak diperlukan jenis otentikasi, sehingga perintah dapat dijalankan dengan bebas.
Peneliti kami dapat meretas salah satu skuter listrik terkemuka – Xiaomi M365 – dan secara efektif mengunci, mengerem, dan/atau mempercepat skuter pengendara yang lewat. Baca lebih lanjut tentang penemuan dari pembuktian konsep: https://t.co/w5kKAerEXJ pic.twitter.com/kcNSFuifDE
— ZIMPERIUM (@ZIMPERIUM) 12 Februari dari 2019
Setelah terhubung ke komputer, penyerang bisa mengambil remote control dari skuter pada jarak maksimal kurang lebih 100 meter untuk menjalankan perintah seperti kunci skate o mempercepat dan mengerem tanpa alasan yang jelas, tindakan yang tidak diragukan lagi dapat menyebabkan kecelakaan, yang memengaruhi baik orang yang mengendarai skuter maupun orang lain di sekitarnya. Untuk melakukan ini, malware yang disamarkan sebagai firmware harus diinstal, sebuah operasi yang tidak diawasi oleh modul Bluetooth skuter kapan saja, sehingga penyerang memiliki kebebasan penuh untuk menginstal apa pun yang diinginkannya. Dalam video di bawah ini, yang diterbitkan oleh Zimperium, Anda dapat melihat bagaimana aplikasi yang dibuat untuk acara tersebut oleh grup keamanan mampu memblokir skuter listrik dari jarak jauh.
Sebagaimana dilaporkan, Xiaomi telah mengetahui masalah ini selama berminggu-minggu, dan mereka sedang mengerjakan perbaikan yang akan datang dalam bentuk pembaruan sistem. Namun, semuanya menunjukkan bahwa tugas tersebut tidak akan mudah, karena modul bluetooth yang terpengaruh bergantung pada pabrikan pihak ketiga, jadi mereka harus bekerja sama untuk meluncurkan semacam solusi bersama. Untuk saat ini, ini semua informasi yang diketahui tentangnya, jadi kami harus berhati-hati sebelum kemungkinan munculnya aplikasi jahat yang mendorong jenis kesalahan ini.
[RelatedNotice blank title=»Inilah 5 skuter listrik yang bisa Anda beli di Amazon»]https://eloutput.com/input/guide-compras/patinetes-electricos-amazon/[/RelatedNotice]
Bagaimana cara menghindari peretasan skuter Xiaomi Anda?
Sayangnya kesalahan tersebut memengaruhi level sistem, jadi tidak ada cara untuk mencegahnya terhubung ke skuter dari jarak jauh. Tidak ada gunanya membuat kata sandi yang rumit melalui aplikasi resmi, karena seperti yang telah kami komentari sebelumnya, sistem tidak memerlukan jenis otentikasi apa pun saat melakukan koneksi langsung. Satu-satunya solusi untuk saat ini adalah menunggu pabrikan merilis pembaruan dengan tambalan keamanan, jadi sementara itu Anda harus berhati-hati.
Update: Kami memperbarui artikel dengan pernyataan resmi Xiaomi tentang kasus tersebut.
Xiaomi menyadari kerentanan yang dapat dieksploitasi oleh peretas dengan niat jahat untuk mengganggu pengoperasian Mi Electric Scooter. Segera setelah kami mengetahui tentang kerentanan ini, kami telah bekerja untuk memperbaikinya dan menghapus semua aplikasi yang tidak sah. Sementara itu, tim produk dan keamanan Xiaomi sedang mempersiapkan pembaruan OTA yang akan tersedia sesegera mungkin. Xiaomi menghargai umpan balik dari pengguna kami dan komunitas keamanan. Kami berkomitmen untuk terus meningkatkan berdasarkan semua umpan balik untuk membuat produk yang lebih baik dan lebih aman.
Pembaruan 2: Dari masyarakat pengguna mixx.io mereka melaporkan bahwa masalah keamanan koneksi Bluetooth adalah rahasia umum selama lebih dari setahun. Cacat ini digunakan untuk menginstal firmware buatan sendiri yang memungkinkan peningkatan kekuatan skate, sehingga penemuannya mungkin tidak terlalu baru. Namun, penelitian Zimperium telah menunjukkan keseriusan masalah tersebut, dan telah berfungsi untuk memahami sejauh mana seseorang dapat melangkah dengan akses tersebut.
Selain itu, pengguna ini telah mengomentari solusi cerdik yang akan digunakan untuk memblokir akses jarak jauh ke skate kami, karena cukup menautkan skate dengan perangkat sehingga koneksi diblokir setiap saat (perangkat kedua tidak dapat buat koneksi), Dimungkinkan juga untuk mengubah nama perangkat sehingga berpura-pura menjadi ponsel dengan koneksi Bluetooth terbuka, sesuatu yang akan menyesatkan kemungkinan penyerang.
[Terima kasih kepada M4p3x untuk tipnya]