一番有名な XiaomiのMi電動スクーターM365 es 最も人気のある電動スクーターの XNUMX つ その瞬間の。 その優れた構造と価格により、この製品は世界中でベストセラーになり、これらの成功した製品によくあることですが、彼らはまた、 ハッカーの注意.
Xiaomi M365のセキュリティ上の欠陥により、リモートコントロールが可能になります
セキュリティグループ Zimperium 彼らがそれを証明するレポートを発表しました Xiaomiのスクーター デバイスを遠隔操作できる脆弱性があり、 コマンドを実行する 資格情報は必要ありません。 これによると、ユーザー登録手続きは公式アプリのみ必要だが、デバイスとの直接接続では認証などは不要で、自由にコマンドを実行できるという。
当社の研究者は、主要な電動スクーターの 365 つである Xiaomi MXNUMX をハッキングし、通過するライダーのスクーターを効果的にロック、ブレーキ、加速することができました。 概念実証からの発見の詳細については、以下をご覧ください。 https://t.co/w5kKAerEXJ pic.twitter.com/kcNSFuifDE
— ジンペリウム (@ZIMPERIUM) 2月12の2019
攻撃者は、コンピュータに接続すると、 リモコン などのコマンドを実行するために、スクーターから最大約 100 メートルの距離で スケートロック o 明らかな理由もなく加速とブレーキをかける、間違いなく事故を引き起こし、スクーターに乗っている人や近くの人に影響を与える可能性のある行動。 これを行うには、ファームウェアを装ったマルウェアをインストールする必要がありますが、この操作はスクーターの Bluetooth モジュールが常に監視するわけではないため、攻撃者は完全に自由に好きなものをインストールできます。 Zimperium が公開した以下のビデオでは、セキュリティ グループがこの機会に作成したアプリケーションが、電動スクーターを遠くからブロックする方法を確認できます。
報道の通り、 Xiaomi は数週間前からこの問題を認識しており、現在システム アップデートの形で修正に取り組んでいます。 ただし、すべてがタスクが容易ではないことを示しています。 ブルートゥースモジュール サードパーティのメーカーに依存しているため、何らかの共同ソリューションを立ち上げるために協力する必要があります。 現時点では、これが既知のすべての情報であるため、この種の不正行為を助長する悪意のあるアプリケーションが出現する前に注意する必要があります。
[関連お知らせ空白のタイトル =»Amazon で購入できる 5 つの電動スクーターは次のとおりです»]https://eloutput.com/input/guide-compras/patinetes-electricos-amazon/[/RelatedNotice]
Xiaomi スクーターのハッキングを回避する方法
残念ながら、このエラーはシステム レベルに影響するため、リモートでスクーターに接続するのを防ぐ方法はありません。 以前にコメントしたように、公式アプリケーションを介して複雑なパスワードを設定しても意味がありません。 システムはいかなる種類の認証も必要としません 直接接続する場合。 現時点での唯一の解決策は、製造元がセキュリティ パッチを適用したアップデートをリリースするのを待つことです。その間は注意が必要です。
アップデート: ケースに関する Xiaomi の公式声明で記事を更新します。
Xiaomi は、悪意のあるハッカーが Mi Electric Scooter の動作を妨害するために悪用できる脆弱性を認識しています。 この脆弱性を発見するとすぐに、それを修正し、すべての許可されていないアプリケーションを削除するために取り組んできました。 一方、Xiaomi の製品およびセキュリティ チームは、できるだけ早く利用できるようになる OTA アップデートを準備しています。 Xiaomi は、ユーザーおよびセキュリティ コミュニティからのフィードバックを重視しています。 より良い、より安全な製品を構築するために、すべてのフィードバックに基づいて常に改善することをお約束します。
2アップデート:以来 ユーザーのコミュニティ mixx.io 彼らは報告します Bluetooth 接続のセキュリティ問題は XNUMX 年以上公然の秘密でした。 この欠陥は、スケートのパワーを上げることを可能にする自家製のファームウェアをインストールするために使用されたため、発見はそれほど新しいものではないかもしれません. しかし、Zimperium の研究は問題の深刻さを示しており、そのようなアクセスでどこまで行けるかを理解するのに役立っています。
さらに、このユーザーは、接続が常にブロックされるようにスケートをデバイスにリンクするだけで十分であるため、スケートへのリモートアクセスをブロックするために使用される独創的なソリューションについてコメントしています (XNUMX 番目のデバイスはできませんでした)。接続を確立する)、デバイスの名前を変更して、Bluetooth 接続が開いている電話のふりをすることもできます。
[ヒントをくれた M4p3x に感謝]