가장 유명한 Xiaomi의 Mi 전기 스쿠터 M365 es 가장 인기있는 전기 스쿠터 중 하나 순간의. 뛰어난 구성과 가격으로 전 세계적으로 베스트셀러가 되었으며, 이러한 성공적인 제품이 늘 그렇듯이 해커의 관심.
Xiaomi M365의 보안 결함으로 원격 제어 가능
보안 그룹 지 페르 륨 그들이 증명하는 보고서를 발표했습니다. 샤오미의 스쿠터 기기를 원격으로 제어할 수 있는 취약점이 있으며 명령 실행 필요한 자격 증명이 없습니다. 사용자 등록 절차는 공식 애플리케이션에서만 필요하지만 디바이스와 직접 연결하는 경우 인증이 필요하지 않아 자유롭게 명령을 실행할 수 있다고 합니다.
우리 연구원들은 주요 전기 스쿠터 중 하나인 Xiaomi M365를 해킹하여 지나가는 라이더의 스쿠터를 효과적으로 잠그거나 제동 및/또는 가속할 수 있었습니다. 개념 증명에서 발견한 내용에 대해 자세히 읽어보십시오. https://t.co/w5kKAerEXJ pic.twitter.com/kcNSFuifDE
— ZIMPERIUM(@ZIMPERIUM) 12의 2019 2 월
일단 컴퓨터에 연결되면 공격자는 원격 제어 다음과 같은 명령을 실행하기 위해 스쿠터에서 최대 약 100미터 거리에 있는 스케이트 자물쇠 o 뚜렷한 이유 없이 가속 및 제동, 의심할 여지 없이 사고를 유발할 수 있는 행동으로 스쿠터를 탄 사람과 근처에 있는 다른 사람 모두에게 영향을 미칩니다. 이렇게 하려면 펌웨어로 위장한 맬웨어를 설치해야 합니다. 이 작업은 스쿠터의 Bluetooth 모듈이 언제든지 감독하지 않으므로 공격자는 원하는 모든 것을 자유롭게 설치할 수 있습니다. Zimperium에서 게시한 아래 비디오에서 보안 그룹이 행사를 위해 만든 애플리케이션이 멀리서 전기 스쿠터를 차단할 수 있는 방법을 확인할 수 있습니다.
보고된 바와 같이, 샤오 미 테크 몇 주 동안 이 문제를 알고 있었고 현재 시스템 업데이트의 형태로 제공될 수정 작업을 진행하고 있습니다. 그러나 모든 것이 작업이 쉽지 않을 것임을 나타냅니다. 블루투스 모듈 영향을 받은 것은 타사 제조업체에 따라 다르므로 일종의 공동 솔루션을 출시하기 위해 협력해야 합니다. 현재로서는 이것이 알려진 모든 정보이므로 이러한 유형의 비행을 조장하는 악성 응용 프로그램이 나타날 수 있기 전에 주의해야 합니다.
[관련 공지 빈 제목=»아마존에서 구입할 수 있는 전기 스쿠터 5종은 다음과 같습니다.»]https://eloutput.com/input/guide-compras/patinetes-electricos-amazon/[/RelatedNotice]
Xiaomi 스쿠터의 해킹을 피하는 방법은 무엇입니까?
불행하게도 이 오류는 시스템 수준에 영향을 미치므로 스쿠터에 원격으로 연결하는 것을 막을 방법이 없습니다. 이전에 언급했듯이 공식 애플리케이션을 통해 복잡한 비밀번호를 설정하는 것은 쓸모가 없습니다. 시스템은 어떤 유형의 인증도 요구하지 않습니다. 직접 연결할 때. 현재 유일한 해결책은 제조업체가 보안 패치가 포함된 업데이트를 릴리스할 때까지 기다리는 것이므로 그 동안에는 주의해야 합니다.
업데이트: 해당 사례에 대한 Xiaomi의 공식 진술로 기사를 업데이트합니다.
Xiaomi는 악의적인 의도를 가진 해커가 Mi Electric Scooter의 작동을 방해하기 위해 악용할 수 있는 취약점을 알고 있습니다. 이 취약점에 대해 알게 된 즉시 이를 수정하고 승인되지 않은 모든 응용 프로그램을 제거하기 위해 노력하고 있습니다. 한편 Xiaomi의 제품 및 보안 팀은 가능한 한 빨리 제공될 OTA 업데이트를 준비하고 있습니다. Xiaomi는 사용자와 보안 커뮤니티의 피드백을 소중하게 생각합니다. 우리는 더 좋고 안전한 제품을 만들기 위해 모든 피드백을 기반으로 지속적으로 개선하기 위해 최선을 다하고 있습니다.
2 업데이트: 에서 사용자 커뮤니티 mixx.io 그들은보고한다 블루투스 연결 보안 문제는 XNUMX년 넘게 공공연한 비밀이었다. 이 결함은 스케이트의 힘을 증가시킬 수 있는 수제 펌웨어를 설치하는 데 사용되었으므로 발견이 그리 새롭지 않을 수 있습니다. 그러나 Zimperium의 연구는 문제의 심각성을 보여주었고 그러한 액세스로 어디까지 갈 수 있는지 이해하는 데 도움이 되었습니다.
또한 이 사용자는 스케이트에 대한 원격 액세스를 차단하는 데 사용할 독창적인 솔루션에 대해 언급했습니다. 스케이트를 장치와 연결하여 연결이 항상 차단되도록 하는 것으로 충분하기 때문입니다(두 번째 장치는 연결 설정), Bluetooth 연결이 열려 있는 전화인 것처럼 가장하여 가능한 공격자를 오도할 수 있도록 장치의 이름을 변경할 수도 있습니다.
[팁을 주신 M4p3x에게 감사드립니다]