Den mest kjente Mi elektrisk scooter M365 fra Xiaomi es en av de mest populære elektriske scooterne øyeblikket. Den utmerkede konstruksjonen og prisen gjør produktet til en bestselger over hele verden, og som vanlig med disse vellykkede produktene, blir de også i fokus for hackers oppmerksomhet.
En sikkerhetsfeil i Xiaomi M365 tillater fjernkontrollen
sikkerhetsgruppe Zimperium har publisert en rapport der de viser det Xiaomis scooter lider av en sårbarhet som lar deg ta fjernkontroll av enheten og kjøre kommandoer uten at det er nødvendig med legitimasjon for det. I henhold til det de sier, er brukerregistreringsprosessen bare nødvendig i den offisielle applikasjonen, men i en direkte forbindelse med enheten er ingen type autentisering nødvendig, derfor kan kommandoer utføres fritt.
Forskerne våre var i stand til å hacke seg inn i en av de ledende elektriske scooterne – Xiaomi M365 – og effektivt låse, bremse og/eller akselerere scooterne til alle passerende syklister. Les mer om funnet fra proof-of-konseptet: https://t.co/w5kKAerEXJ pic.twitter.com/kcNSFuifDE
— ZIMPERIUM (@ZIMPERIUM) 12 februar 2019
Når angriperen er koblet til datamaskinen, kan den ta fjernkontroll fra scooteren i en maksimal avstand på ca. 100 meter for å utføre kommandoer som f.eks skøytelås o akselerere og bremse uten noen åpenbar grunn, handlinger som utvilsomt kan forårsake en ulykke, som påvirker både personen som kjører scooteren og alle andre i nærheten. For å gjøre dette, måtte malware forkledd som fastvare installeres, en operasjon som scooterens Bluetooth-modul ikke overvåker til enhver tid, slik at angriperen ville ha full frihet til å installere hva han måtte ønske. I videoen nedenfor, publisert av Zimperium, kan du se hvordan en applikasjon laget for anledningen av sikkerhetsgruppen er i stand til å blokkere den elektriske scooteren på avstand.
Som rapportert, Xiaomi har vært klar over dette problemet i flere uker, og de jobber for tiden med en løsning som vil komme i form av en systemoppdatering. Alt tyder imidlertid på at oppgaven ikke vil være lett, siden bluetooth-modul som har blitt berørt avhenger av en tredjepartsprodusent, så de må samarbeide for å lansere en slags felles løsning. Foreløpig er dette all informasjonen som er kjent om det, så vi må være forsiktige før mulige opptreden av ondsinnede applikasjoner som oppmuntrer til denne typen ugjerning.
[RelatedNotice blank title=»Dette er de 5 elektriske scooterne du kan kjøpe på Amazon»]https://eloutput.com/input/guide-compras/patinetes-electricos-amazon/[/RelatedNotice]
Hvordan unngå hacket på Xiaomi-scooteren din?
Dessverre påvirker feilen systemnivået, så det er ingen måte å forhindre dem i å koble til scooteren eksternt. Det er ubrukelig å etablere et komplekst passord gjennom den offisielle applikasjonen, siden som vi tidligere har kommentert, systemet krever ingen type autentisering når du oppretter en direkte forbindelse. Den eneste løsningen foreløpig er å vente på at produsenten slipper oppdateringen med sikkerhetsoppdateringen, så i mellomtiden må du være forsiktig.
Oppdater: Vi oppdaterer artikkelen med Xiaomis offisielle uttalelser om saken.
Xiaomi er klar over sårbarheten som hackere med ondsinnet hensikt kan utnytte for å forstyrre driften til Mi Electric Scooter. Så snart vi fant ut om dette sikkerhetsproblemet, har vi jobbet med å fikse det og fjerne alle uautoriserte applikasjoner. I mellomtiden forbereder Xiaomis produkt- og sikkerhetsteam en OTA-oppdatering som vil være tilgjengelig så snart som mulig. Xiaomi verdsetter tilbakemeldinger fra brukerne våre og sikkerhetsfellesskapet. Vi er forpliktet til å kontinuerlig forbedre oss basert på alle tilbakemeldinger for å bygge bedre og sikrere produkter.
Oppdater 2: Fra brukerfellesskapet mixx.io rapporterer de at sikkerhetsproblemet med Bluetooth-tilkobling var en åpen hemmelighet i mer enn ett år. Denne feilen ble brukt til å installere hjemmelaget fastvare som tillot å øke kraften til skøyten, så oppdagelsen virket kanskje ikke så ny. Zimperiums studier har imidlertid vist alvoret i problemet, og har tjent til å forstå hvor langt man kan gå med en slik tilgang.
I tillegg har denne brukeren kommentert en genial løsning som vil bli brukt til å blokkere ekstern tilgang til skøyten vår, siden det ville være nok å koble skøyten til en enhet slik at forbindelsen til enhver tid er blokkert (en andre enhet kunne ikke etablere forbindelsen), Det er også mulig å endre navnet på enheten slik at den utgir seg for å være en telefon med en åpen Bluetooth-tilkobling, noe som ville villede den mulige angriperen.
[Takk til M4p3x for tipset]