Il più famoso Mi Scooter elettrico M365 di Xiaomi es uno degli scooter elettrici più popolari del momento. La sua eccellente costruzione e il prezzo rendono il prodotto un bestseller in tutto il mondo e, come di consueto con questi prodotti di successo, diventano anche il fulcro di l'attenzione degli hacker.
Un difetto di sicurezza nello Xiaomi M365 ne consente il controllo remoto
gruppo di sicurezza Zimperium ha pubblicato un rapporto in cui lo dimostrano Lo scooter di Xiaomi soffre di una vulnerabilità che consente di assumere il controllo remoto del dispositivo e eseguire comandi senza alcuna credenziale necessaria per questo. Secondo quanto si dice, il processo di registrazione dell'utente è necessario solo nell'applicazione ufficiale, tuttavia, in connessione diretta con il dispositivo, non è richiesto alcun tipo di autenticazione, quindi i comandi possono essere eseguiti liberamente.
I nostri ricercatori sono stati in grado di hackerare uno dei principali monopattini elettrici, lo Xiaomi M365, e bloccare, frenare e/o accelerare efficacemente i monopattini di qualsiasi motociclista di passaggio. Maggiori informazioni sulla scoperta dalla prova del concetto: https://t.co/w5kKAerEXJ pic.twitter.com/kcNSFuifDE
— ZIMPERIO (@ZIMPERIO) 12 di febbraio 2019
Una volta connesso al computer, l'aggressore potrebbe prendere il file telecomando dallo scooter ad una distanza massima di circa 100 metri per eseguire comandi quali lucchetto per pattini o accelerando e frenando senza motivo apparente, azioni che potrebbero indubbiamente causare un incidente, colpendo sia la persona che guida lo scooter che chiunque altro nelle vicinanze. Per fare ciò, dovrebbe essere installato un malware camuffato da firmware, un'operazione che il modulo Bluetooth dello scooter non supervisiona in nessun momento, quindi l'attaccante avrebbe la completa libertà di installare ciò che desidera. Nel video qui sotto, pubblicato da Zimperium, si può vedere come un'applicazione creata per l'occasione dal gruppo di sicurezza sia in grado di bloccare a distanza il monopattino elettrico.
Come riportato, Xiaomi è a conoscenza di questo problema da settimane e attualmente stanno lavorando a una soluzione che arriverà sotto forma di un aggiornamento di sistema. Tuttavia, tutto indica che il compito non sarà facile, dal momento che il modulo bluetooth che è stato interessato dipende da un produttore di terze parti, quindi dovranno lavorare insieme per lanciare una sorta di soluzione congiunta. Per ora, queste sono tutte le informazioni che si conoscono al riguardo, quindi dovremo stare attenti prima della possibile comparsa di applicazioni dannose che incoraggiano questo tipo di misfatto.
[RelatedNotice blank title=»Questi sono i 5 monopattini elettrici che puoi acquistare su Amazon»]https://eloutput.com/input/guide-compras/patinetes-electricos-amazon/[/RelatedNotice]
Come evitare l'hacking del tuo scooter Xiaomi?
Sfortunatamente l'errore riguarda il livello di sistema, quindi non c'è modo di impedire loro di connettersi allo scooter da remoto. È inutile stabilire una password complessa tramite l'applicazione ufficiale, poiché come abbiamo precedentemente commentato, il sistema non richiede alcun tipo di autenticazione quando si effettua un collegamento diretto. L'unica soluzione per ora è aspettare che il produttore rilasci l'aggiornamento con la patch di sicurezza, quindi nel frattempo dovrete stare attenti.
Aggiornare: Aggiorniamo l'articolo con le dichiarazioni ufficiali di Xiaomi sul caso.
Xiaomi è consapevole della vulnerabilità che gli hacker con intenti malevoli possono sfruttare per interrompere le operazioni del Mi Electric Scooter. Non appena abbiamo scoperto questa vulnerabilità, abbiamo lavorato per risolverla e rimuovere tutte le applicazioni non autorizzate. Nel frattempo, i team di prodotto e sicurezza di Xiaomi stanno preparando un aggiornamento OTA che sarà disponibile il prima possibile. Xiaomi apprezza il feedback dei nostri utenti e della comunità della sicurezza. Ci impegniamo a migliorare costantemente sulla base di tutti i feedback per costruire prodotti migliori e più sicuri.
Aggiornamento 2: Da la comunità degli utenti mixx.io riferiscono che il problema di sicurezza della connessione Bluetooth è stato un segreto di Pulcinella per più di un anno. Questo difetto è stato utilizzato per installare firmware fatti in casa che hanno permesso di aumentare la potenza dello skate, quindi la scoperta potrebbe non sembrare così nuova. Tuttavia, gli studi di Zimperium hanno mostrato la gravità del problema, e sono serviti a capire fino a che punto si potesse arrivare con tale accesso.
Inoltre, questo utente ha commentato una soluzione geniale che verrebbe utilizzata per bloccare l'accesso remoto al nostro skate, poiché sarebbe sufficiente collegare lo skate con un dispositivo in modo che la connessione sia sempre bloccata (un secondo dispositivo non potrebbe stabilire la connessione), è anche possibile modificare il nome del dispositivo in modo che finga di essere un telefono con una connessione Bluetooth aperta, cosa che potrebbe trarre in inganno il possibile malintenzionato.
[Grazie a M4p3x per il suggerimento]