הכי מפורסם Mi Electric Scooter M365 מבית Xiaomi es אחד הקורקינטים החשמליים הפופולריים ביותר של הרגע. הבנייה והמחיר המצוינים שלו הופכים את המוצר לרב מכר בכל העולם, וכרגיל במוצרים המוצלחים הללו, הם גם הופכים למוקד של תשומת לב האקרים.
ליקוי אבטחה ב-Xiaomi M365 מאפשר את השלט הרחוק שלו
קבוצת אבטחה Zimperium פרסמו דו"ח שבו הם מדגימים זאת הקטנוע של שיאומי סובל מפגיעות המאפשרת לקחת שליטה מרחוק על המכשיר ו להפעיל פקודות ללא כל אישורים הדרושים לכך. לפי מה שהם אומרים, תהליך רישום המשתמש הכרחי רק באפליקציה הרשמית, אולם בחיבור ישיר למכשיר, אין צורך בשום סוג של אימות, ומכאן שניתן לבצע פקודות באופן חופשי.
החוקרים שלנו הצליחו לפרוץ לאחד מהקטנועים החשמליים המובילים - ה-Xiaomi M365 - וביעילות לנעול, לבלום ו/או להאיץ את הקורקינטים של כל רוכב חולף. קרא עוד על התגלית מתוך ההוכחה של הרעיון: https://t.co/w5kKAerEXJ pic.twitter.com/kcNSFuifDE
— ZIMPERIUM (@ZIMPERIUM) 12 פברואר 2019
לאחר חיבור למחשב, התוקף יכול לקחת את שלט רחוק מהקלנועית במרחק מקסימלי של כ-100 מטר לביצוע פקודות כגון מנעול החלקה o האצה ובלימה ללא סיבה נראית לעין, פעולות שעלולות ללא ספק לגרום לתאונה, שישפיעו הן על הרוכב על הקטנוע והן על כל אדם אחר בקרבת מקום. לשם כך, יהיה צורך להתקין תוכנות זדוניות המחופשות לקושחה, פעולה שמודול ה-Bluetooth של הקטנוע אינו מפקח עליה בכל עת, כך שלתוקף יהיה חופש מוחלט להתקין מה שהוא רוצה. בסרטון למטה, בהוצאת זימפריום, ניתן לראות כיצד אפליקציה שנוצרה לרגל האירוע על ידי קבוצת האבטחה מסוגלת לחסום את הקורקינט החשמלי מרחוק.
כפי שדווח, Xiaomi מודעים לבעיה זו במשך שבועות, וכרגע הם עובדים על תיקון שיגיע בצורה של עדכון מערכת. עם זאת, הכל מצביע על כך שהמשימה לא תהיה קלה, שכן מודול Bluetooth שהושפעה תלויה ביצרן צד שלישי, ולכן הם יצטרכו לעבוד יחד כדי להשיק איזשהו פתרון משותף. לעת עתה, זהו כל המידע שידוע על כך, ולכן נצטרך להיות זהירים לפני הופעתן האפשרית של אפליקציות זדוניות המעודדות סוג זה של מעשי עוון.
[RelatedNotice blank title=»אלה הם 5 הקורקינטים החשמליים שתוכלו לקנות באמזון»]https://eloutput.com/input/guide-compras/patinetes-electricos-amazon/[/RelatedNotice]
כיצד להימנע מהפריצה לקטנוע שיאומי שלך?
למרבה הצער השגיאה משפיעה על רמת המערכת, כך שאין דרך למנוע מהם להתחבר לקטנוע מרחוק. זה חסר תועלת להקים סיסמה מורכבת דרך האפליקציה הרשמית, שכן כפי שהערנו בעבר, המערכת אינה דורשת שום סוג של אימות בעת יצירת קשר ישיר. הפתרון היחיד לעת עתה הוא לחכות שהיצרן ישחרר את העדכון עם תיקון האבטחה, כך שבינתיים תצטרכו להיזהר.
עדכון: אנו מעדכנים את המאמר עם ההצהרות הרשמיות של Xiaomi על המקרה.
Xiaomi מודעת לפגיעות שהאקרים בעלי כוונת זדון יכולים לנצל כדי לשבש את פעולות ה-Mi Electric Scooter. ברגע שגילינו על הפגיעות הזו, פעלנו לתקן אותה ולהסיר את כל היישומים הלא מורשים. בינתיים, צוותי המוצר והאבטחה של Xiaomi מכינים עדכון OTA שיהיה זמין בהקדם האפשרי. Xiaomi מעריכה משוב מהמשתמשים שלנו ומקהילת האבטחה. אנו מחויבים לשיפור מתמיד בהתבסס על כל המשוב כדי לבנות מוצרים טובים ובטוחים יותר.
עדכון 2: מ קהילת המשתמשים mixx.io הם מדווחים שבעיית אבטחת חיבור בלוטות' הייתה סוד גלוי במשך יותר משנה. פגם זה שימש להתקנת קושחה תוצרת בית שאפשרה להגביר את עוצמת ההחלקה, כך שהגילוי אולי לא נראה כל כך חדש. עם זאת, המחקרים של Zimperium הראו את חומרת הבעיה, ועזרו להבין כמה רחוק אפשר להגיע עם גישה כזו.
בנוסף, משתמש זה הגיב על פתרון גאוני שישמש לחסימת גישה מרחוק להחלקה שלנו, שכן זה יספיק לקשר את הסקייט עם מכשיר כך שהחיבור יהיה חסום כל הזמן (מכשיר שני לא יכול היה ליצור את החיבור), אפשר גם לשנות את שם המכשיר כך שהוא יעמיד פנים שהוא טלפון עם חיבור בלוטות' פתוח, דבר שיטעה את התוקף האפשרי.
[תודה ל-M4p3x על הטיפ]