Het beroemdste Mi elektrische scooter M365 van Xiaomi es een van de meest populaire elektrische scooters van het moment. De uitstekende constructie en prijs maken het product tot een bestseller over de hele wereld, en zoals gebruikelijk bij deze succesvolle producten worden ze ook de focus van hackers aandacht.
Een beveiligingsfout in de Xiaomi M365 maakt de afstandsbediening mogelijk
beveiligings groep Zimperium heeft een rapport uitgebracht waarin ze dat aantonen Xiaomi's scooter lijdt aan een kwetsbaarheid waardoor u het apparaat op afstand kunt bedienen en opdrachten uitvoeren zonder dat daarvoor enige inloggegevens nodig zijn. Volgens wat ze zeggen, is het gebruikersregistratieproces alleen nodig in de officiële applicatie, maar in een directe verbinding met het apparaat is geen enkele vorm van authenticatie vereist, waardoor opdrachten vrij kunnen worden uitgevoerd.
Onze onderzoekers waren in staat om een van de toonaangevende elektrische scooters - de Xiaomi M365 - te hacken en de scooters van passerende rijders effectief te vergrendelen, remmen en/of versnellen. Lees meer over de ontdekking uit de proof-of-concept: https://t.co/w5kKAerEXJ pic.twitter.com/kcNSFuifDE
— ZIMPERIUM (@ZIMPERIUM) 12 van februari 2019
Eenmaal verbonden met de computer, kan de aanvaller de afstandsbediening van de scooter op een maximale afstand van ongeveer 100 meter om commando's uit te voeren zoals skate slot o accelereren en remmen zonder aanwijsbare reden, acties die ongetwijfeld een ongeval kunnen veroorzaken, zowel voor de persoon die op de scooter rijdt als voor iedereen in de buurt. Om dit te doen, zou malware vermomd als firmware moeten worden geïnstalleerd, een handeling die de Bluetooth-module van de scooter op geen enkel moment begeleidt, zodat de aanvaller de volledige vrijheid heeft om te installeren wat hij maar wil. In onderstaande video, gepubliceerd door Zimperium, zie je hoe een applicatie die voor de gelegenheid is gemaakt door de beveiligingsgroep in staat is om de elektrische scooter op afstand te blokkeren.
Zoals gemeld, Xiaomi is al weken op de hoogte van dit probleem en werkt momenteel aan een oplossing in de vorm van een systeemupdate. Alles wijst er echter op dat de taak niet gemakkelijk zal zijn, aangezien de bluetooth-module die is getroffen, is afhankelijk van een externe fabrikant, dus ze zullen moeten samenwerken om een soort gezamenlijke oplossing te lanceren. Voorlopig is dit alle informatie die erover bekend is, dus we zullen voorzichtig moeten zijn voordat er mogelijk kwaadaardige applicaties verschijnen die dit soort wandaden aanmoedigen.
[RelatedNotice blank title=»Dit zijn de 5 elektrische scooters die je op Amazon kunt kopen»]https://eloutput.com/input/guide-compras/patinetes-electricos-amazon/[/RelatedNotice]
Hoe voorkom je de hack van je Xiaomi-scooter?
Helaas beïnvloedt de fout het systeemniveau, dus er is geen manier om te voorkomen dat ze op afstand verbinding maken met de scooter. Het heeft geen zin om via de officiële aanvraag een complex wachtwoord in te stellen, aangezien, zoals we eerder hebben opgemerkt, het systeem vereist geen enkele vorm van authenticatie bij het maken van een directe verbinding. De enige oplossing voor nu is wachten tot de fabrikant de update met de beveiligingspatch uitbrengt, dus in de tussentijd zul je voorzichtig moeten zijn.
-update: We werken het artikel bij met de officiële verklaringen van Xiaomi over de zaak.
Xiaomi is zich bewust van de kwetsbaarheid die hackers met kwade bedoelingen kunnen misbruiken om de werking van de Mi Electric Scooter te verstoren. Zodra we dit beveiligingslek ontdekten, hebben we eraan gewerkt om het te verhelpen en alle niet-geautoriseerde applicaties te verwijderen. Ondertussen bereiden de product- en beveiligingsteams van Xiaomi een OTA-update voor die zo snel mogelijk beschikbaar zal zijn. Xiaomi waardeert feedback van onze gebruikers en de beveiligingscommunity. We zijn toegewijd aan het voortdurend verbeteren op basis van alle feedback om betere en veiligere producten te bouwen.
Update van 2: Van de gemeenschap van gebruikers mixx.io zij rapporteren dat het beveiligingsprobleem met de Bluetooth-verbinding meer dan een jaar een publiek geheim was. Deze fout werd gebruikt om zelfgemaakte firmware te installeren waarmee de kracht van de skate kon worden vergroot, dus de ontdekking lijkt misschien niet zo nieuw. De studies van Zimperium hebben echter de ernst van het probleem aangetoond en hebben gediend om te begrijpen hoe ver men zou kunnen gaan met een dergelijke toegang.
Bovendien heeft deze gebruiker commentaar geleverd op een ingenieuze oplossing die zou worden gebruikt om toegang op afstand tot onze skate te blokkeren, aangezien het voldoende zou zijn om de skate te koppelen aan een apparaat zodat de verbinding te allen tijde wordt geblokkeerd (een tweede apparaat kan niet de verbinding tot stand te brengen), is het ook mogelijk om de naam van het apparaat te wijzigen zodat het zich voordoet als een telefoon met een open Bluetooth-verbinding, iets wat de mogelijke aanvaller zou misleiden.
[Met dank aan M4p3x voor de tip]