Garsiausias Mi elektrinis paspirtukas M365 iš Xiaomi es vienas populiariausių elektrinių paspirtukų akimirkos. Dėl puikios konstrukcijos ir kainos produktas tampa bestseleriu visame pasaulyje, ir, kaip įprasta šiems sėkmingiems gaminiams, jie taip pat tampa dėmesio centre. įsilaužėlių dėmesį.
„Xiaomi M365“ saugos trūkumas leidžia jį valdyti nuotoliniu būdu
apsaugos grupė Zimperiumas paskelbė ataskaitą, kurioje jie tai įrodo Xiaomi motoroleris kenčia nuo pažeidžiamumo, leidžiančio nuotoliniu būdu valdyti įrenginį ir paleisti komandas be jokių tam reikalingų įgaliojimų. Pasak jų, vartotojo registracijos procesas būtinas tik oficialioje programoje, tačiau tiesiogiai prisijungus prie įrenginio nereikia jokio autentifikavimo tipo, todėl komandos gali būti vykdomos laisvai.
Mūsų tyrėjams pavyko įsilaužti į vieną iš pirmaujančių elektrinių paspirtukų – Xiaomi M365 – ir efektyviai užrakinti, stabdyti ir (arba) pagreitinti bet kurio pro šalį važiuojančio motociklininko paspirtuką. Skaitykite daugiau apie atradimą iš koncepcijos įrodymo: https://t.co/w5kKAerEXJ pic.twitter.com/kcNSFuifDE
– ZIMPERIUM (@ZIMPERIUM) 12 Vasario 2019
Prisijungęs prie kompiuterio, užpuolikas gali paimti nuotolinio valdymo pultas nuo paspirtuko ne didesniu kaip 100 metrų atstumu vykdyti komandas, pvz. pačiūžos užraktas o greitėja ir stabdo be aiškios priežasties, veiksmai, kurie neabejotinai gali sukelti nelaimingą atsitikimą, paveikti tiek paspirtuku važiuojantį asmenį, tiek bet kurį kitą šalia esantį asmenį. Norėdami tai padaryti, turėtų būti įdiegta kenkėjiška programinė įranga, užmaskuota kaip programinė įranga, o šios operacijos niekada neprižiūri paspirtuko Bluetooth modulis, todėl užpuolikas turėtų visišką laisvę įdiegti ką tik nori. Žemiau esančiame vaizdo įraše, kurį paskelbė „Zimperium“, galite pamatyti, kaip apsaugos grupės šiai progai sukurta aplikacija sugeba per atstumą blokuoti elektrinį paspirtuką.
Kaip pranešama, Xiaomi apie šią problemą žinojo kelias savaites ir šiuo metu jie dirba su pataisymu, kuris bus atnaujintas sistemos forma. Tačiau viskas rodo, kad užduotis nebus lengva, nes Bluetooth modulis Tai, kas buvo paveikta, priklauso nuo trečiosios šalies gamintojo, todėl jie turės dirbti kartu, kad pradėtų kokį nors bendrą sprendimą. Kol kas tai yra visa apie tai žinoma informacija, todėl turėsime būti atsargūs prieš galimų kenkėjiškų programų, skatinančių tokio pobūdžio nusižengimus, atsiradimą.
[RelatedNotice blank title=»Tai yra 5 elektriniai paspirtukai, kuriuos galite nusipirkti Amazon»]https://eloutput.com/input/guide-compras/patinetes-electricos-amazon/[/RelatedNotice]
Kaip išvengti „Xiaomi“ motorolerio įsilaužimo?
Deja, klaida turi įtakos sistemos lygiui, todėl nėra jokio būdo neleisti jiems nuotoliniu būdu prisijungti prie paspirtuko. Nenaudinga nustatyti sudėtingą slaptažodį naudojant oficialią programą, nes, kaip jau komentavome, sistema nereikalauja jokio autentifikavimo tipo užmezgant tiesioginį ryšį. Vienintelė išeitis kol kas – laukti, kol gamintojas išleis atnaujinimą su saugos pataisa, tad kol kas teks būti atsargiems.
Atnaujinti: Straipsnį atnaujiname su oficialiais „Xiaomi“ pareiškimais šiuo atveju.
„Xiaomi“ žino apie pažeidžiamumą, kurį piktybiškų ketinimų turintys įsilaužėliai gali išnaudoti, kad sutrikdytų „Mi Electric Scooter“ veikimą. Kai tik sužinojome apie šį pažeidžiamumą, stengėmės jį ištaisyti ir pašalinti visas neleistinas programas. Tuo tarpu „Xiaomi“ produktų ir saugos komandos ruošia OTA atnaujinimą, kuris bus pasiekiamas kuo greičiau. „Xiaomi“ vertina vartotojų ir saugos bendruomenės atsiliepimus. Esame įsipareigoję nuolat tobulėti, remdamiesi visais atsiliepimais, kad sukurtume geresnius ir saugesnius produktus.
2 atnaujinimas: Nuo vartotojų bendruomenė mixx.io jie praneša kad Bluetooth ryšio saugumo problema buvo vieša paslaptis daugiau nei metus. Šis trūkumas buvo panaudotas diegiant savadarbę programinę-aparatinę įrangą, kuri leido padidinti pačiūžos galią, todėl atradimas gali pasirodyti ne toks naujas. Tačiau Zimperium tyrimai parodė problemos rimtumą ir padėjo suprasti, kiek toli galima nueiti su tokia prieiga.
Be to, šis vartotojas pakomentavo išradingą sprendimą, kuris būtų naudojamas blokuoti nuotolinę prieigą prie mūsų pačiūžos, nes užtektų susieti čiuožyklą su įrenginiu, kad ryšys būtų blokuojamas visą laiką (antras įrenginys negalėjo užmegzti ryšį), taip pat galima pakeisti įrenginio pavadinimą, kad jis apsimestų telefonu su atviru Bluetooth ryšiu, o tai suklaidintų galimą užpuoliką.
[Ačiū M4p3x už patarimą]