Slavenākais Mi Electric Scooter M365 no Xiaomi es viens no populārākajiem elektriskajiem skrejriteņiem šī brīža. Tā lieliskā konstrukcija un cena padara produktu par bestselleru visā pasaulē, un, kā jau ierasts ar šiem veiksmīgajiem produktiem, tie arī kļūst par galveno uzmanību. hakeru uzmanību.
Xiaomi M365 drošības trūkums ļauj to vadīt tālvadības pultī
drošības grupa Zimperijs ir publicējusi ziņojumu, kurā viņi to pierāda Xiaomi motorolleris cieš no ievainojamības, kas ļauj veikt ierīces tālvadības pulti un palaist komandas bez tam nepieciešamiem akreditācijas datiem. Pēc viņu teiktā, lietotāja reģistrācijas process ir nepieciešams tikai oficiālajā pieteikumā, taču tiešā saistībā ar ierīci nav nepieciešama nekāda veida autentifikācija, līdz ar to komandas var brīvi izpildīt.
Mūsu pētniekiem izdevās uzlauzt vienu no vadošajiem elektriskajiem skrejriteņiem — Xiaomi M365 — un efektīvi bloķēt, bremzēt un/vai paātrināt jebkura garāmbraucoša motorollera darbību. Lasiet vairāk par atklājumu no koncepcijas pierādījuma: https://t.co/w5kKAerEXJ pic.twitter.com/kcNSFuifDE
— ZIMPERIUM (@ZIMPERIUM) 12 febrero 2019
Kad ir izveidots savienojums ar datoru, uzbrucējs var izmantot tālvadības pults no motorollera ne vairāk kā 100 metru attālumā, lai izpildītu komandas, piemēram, slidu slēdzene o paātrināt un bremzēt bez redzama iemesla, darbības, kas neapšaubāmi var izraisīt negadījumu, ietekmējot gan personu, kas brauc ar motorolleru, gan jebkuru citu tuvumā esošo. Lai to izdarītu, būtu jāinstalē ļaunprātīga programmatūra, kas ir maskēta kā programmaparatūra. Šo darbību motorollera Bluetooth modulis neuzrauga jebkurā laikā, tāpēc uzbrucējam būtu pilnīga brīvība instalēt visu, ko viņš vēlas. Zemāk esošajā video, ko publicējis Zimperium, var redzēt, kā drošības grupas šim gadījumam izveidota aplikācija spēj no attāluma bloķēt elektrisko skrejriteni.
Kā ziņots, Xiaomi ir zināms par šo problēmu nedēļām ilgi, un viņi pašlaik strādā pie labojuma, kas tiks nodrošināts sistēmas atjauninājuma veidā. Tomēr viss liecina, ka uzdevums nebūs viegls, jo Bluetooth modulis ietekmētais ir atkarīgs no trešās puses ražotāja, tāpēc viņiem būs jāsadarbojas, lai ieviestu kādu kopīgu risinājumu. Pagaidām šī ir visa informācija, kas par to ir zināma, tāpēc būs jāuzmanās pirms iespējamas ļaunprātīgu aplikāciju parādīšanās, kas veicina šāda veida nedarbus.
[RelatedNotice blank title=»Šie ir 5 elektriskie skrejriteņi, kurus varat iegādāties vietnē Amazon»]https://eloutput.com/input/guide-compras/patinetes-electricos-amazon/[/RelatedNotice]
Kā izvairīties no Xiaomi motorollera uzlaušanas?
Diemžēl kļūda ietekmē sistēmas līmeni, tāpēc nav iespējams novērst to attālinātu savienojumu ar skrejriteni. Ir bezjēdzīgi izveidot sarežģītu paroli, izmantojot oficiālo lietojumprogrammu, jo, kā mēs jau iepriekš komentējām, sistēmai nav nepieciešama nekāda veida autentifikācija veidojot tiešu savienojumu. Pagaidām vienīgais risinājums ir gaidīt, kad ražotājs izlaidīs atjauninājumu ar drošības ielāpu, tāpēc tikmēr būs jāuzmanās.
Atjaunināt: Mēs atjauninām rakstu ar Xiaomi oficiālajiem paziņojumiem par lietu.
Xiaomi apzinās ievainojamību, ko var izmantot hakeri ar ļaunprātīgiem nolūkiem, lai traucētu Mi Electric Scooter darbību. Tiklīdz mēs uzzinājām par šo ievainojamību, mēs esam strādājuši, lai to novērstu un noņemtu visas nesankcionētās lietojumprogrammas. Tikmēr Xiaomi produktu un drošības komandas gatavo OTA atjauninājumu, kas būs pieejams pēc iespējas ātrāk. Xiaomi novērtē atsauksmes no mūsu lietotājiem un drošības kopienas. Mēs esam apņēmušies pastāvīgi uzlabot, pamatojoties uz visām atsauksmēm, lai izveidotu labākus un drošākus produktus.
2 atjauninājums: No lietotāju kopienai mixx.io viņi ziņo ka Bluetooth savienojuma drošības problēma bija atklāts noslēpums vairāk nekā gadu. Šis trūkums tika izmantots, lai instalētu paštaisītu programmaparatūru, kas ļāva palielināt slidas jaudu, tāpēc atklājums varētu nešķist tik jauns. Tomēr Zimperium pētījumi ir parādījuši problēmas nopietnību un palīdzējuši saprast, cik tālu var iet ar šādu piekļuvi.
Turklāt šis lietotājs ir komentējis ģeniālu risinājumu, kas tiktu izmantots, lai bloķētu attālo piekļuvi mūsu slidai, jo pietiktu slidu savienot ar ierīci, lai savienojums vienmēr tiktu bloķēts (otrā ierīce nevarētu izveidot savienojumu), ir iespējams arī mainīt ierīces nosaukumu, lai tā izliktos par tālruni ar atvērtu Bluetooth savienojumu, kas varētu maldināt iespējamo uzbrucēju.
[Paldies M4p3x par padomu]