Najsławniejszy Hulajnoga elektryczna Mi M365 od Xiaomi es jedna z najpopularniejszych hulajnóg elektrycznych chwili. Jego doskonała konstrukcja i cena sprawiają, że produkt ten jest bestsellerem na całym świecie i jak zwykle w przypadku tych odnoszących sukcesy produktów, stają się one również przedmiotem zainteresowania uwaga hakerów.
Luka w zabezpieczeniach Xiaomi M365 umożliwia zdalne sterowanie
grupa bezpieczeństwa Zimperium opublikował raport, w którym to udowadnia skuter Xiaomi ma lukę, która pozwala przejąć zdalną kontrolę nad urządzeniem i uruchom polecenia bez żadnych poświadczeń potrzebnych do tego. Zgodnie z tym, co mówią, proces rejestracji użytkownika jest konieczny tylko w oficjalnej aplikacji, jednak w bezpośrednim połączeniu z urządzeniem nie jest wymagane żadne uwierzytelnienie, dzięki czemu polecenia mogą być wykonywane swobodnie.
Nasi badacze byli w stanie włamać się do jednej z wiodących hulajnóg elektrycznych – Xiaomi M365 – i skutecznie blokować, hamować i/lub przyspieszać hulajnogi dowolnych przejeżdżających jeźdźców. Przeczytaj więcej o odkryciu z dowodu koncepcji: https://t.co/w5kKAerEXJ pic.twitter.com/kcNSFuifDE
— ZIMPERIUM (@ZIMPERIUM) 12 z lutego 2019
Po podłączeniu do komputera atakujący może przejąć pilot zdalnego sterowania od hulajnogi w maksymalnej odległości około 100 metrów, aby wykonać polecenia, takie jak blokada łyżwy o przyspieszanie i hamowanie bez wyraźnego powodu, działania, które niewątpliwie mogą spowodować wypadek, dotykający zarówno osobę jadącą na hulajnodze, jak i osoby znajdujące się w pobliżu. Aby to zrobić, musiałoby zostać zainstalowane złośliwe oprogramowanie udające oprogramowanie układowe, operacja, której moduł Bluetooth skutera nie nadzoruje w żadnym momencie, więc atakujący miałby pełną swobodę instalowania wszystkiego, co chciał. Na poniższym filmie, opublikowanym przez Zimperium, można zobaczyć, jak aplikacja stworzona na tę okazję przez grupę bezpieczeństwa jest w stanie zablokować hulajnogę elektryczną na odległość.
Jak donosi, Xiaomi jest świadomy tego problemu od tygodni i obecnie pracuje nad poprawką, która pojawi się w formie aktualizacji systemu. Wszystko jednak wskazuje na to, że zadanie nie będzie łatwe, gdyż moduł bluetooth których to dotyczy, zależy od zewnętrznego producenta, więc będą musieli współpracować, aby wprowadzić jakieś wspólne rozwiązanie. Na razie to wszystkie znane informacje na jego temat, więc będziemy musieli uważać przed ewentualnym pojawieniem się złośliwych aplikacji zachęcających do tego typu wykroczeń.
[RelatedNotice blank title=»Oto 5 hulajnóg elektrycznych, które możesz kupić na Amazon»]https://eloutput.com/input/guide-compras/patinetes-electricos-amazon/[/RelatedNotice]
Jak uniknąć włamania do skutera Xiaomi?
Niestety błąd wpływa na poziom systemu, więc nie ma sposobu, aby uniemożliwić im zdalne połączenie się ze skuterem. Bezużyteczne jest ustalanie złożonego hasła za pośrednictwem oficjalnej aplikacji, ponieważ, jak już wcześniej komentowaliśmy, system nie wymaga żadnego rodzaju uwierzytelnienia podczas nawiązywania bezpośredniego połączenia. Jedynym rozwiązaniem na razie jest czekanie, aż producent wypuści aktualizację z poprawką bezpieczeństwa, więc w międzyczasie trzeba będzie uważać.
aktualizacja: Aktualizujemy artykuł o oficjalne oświadczenia Xiaomi w tej sprawie.
Xiaomi zdaje sobie sprawę z luki w zabezpieczeniach, którą hakerzy mogą wykorzystać w złych intencjach, aby zakłócić działanie Mi Electric Scooter. Gdy tylko dowiedzieliśmy się o tej luce, pracowaliśmy nad jej naprawieniem i usunięciem wszystkich nieautoryzowanych aplikacji. Tymczasem zespoły produktowe i bezpieczeństwa Xiaomi przygotowują aktualizację OTA, która będzie dostępna tak szybko, jak to możliwe. Xiaomi ceni opinie naszych użytkowników i społeczności zajmującej się bezpieczeństwem. Zobowiązujemy się do ciągłego doskonalenia w oparciu o wszystkie opinie, aby tworzyć lepsze i bezpieczniejsze produkty.
Aktualizacja 2: Od społeczność użytkowników mixx.io zgłaszają że problem bezpieczeństwa połączenia Bluetooth przez ponad rok był tajemnicą poliszynela. Ta luka została wykorzystana do zainstalowania domowego oprogramowania, które pozwoliło zwiększyć moc rolki, więc odkrycie może nie wydawać się takie nowe. Jednak badania Zimperium pokazały powagę problemu i pozwoliły zrozumieć, jak daleko można się posunąć z takim dostępem.
Dodatkowo ten użytkownik skomentował pomysłowe rozwiązanie, które miałoby służyć do blokowania zdalnego dostępu do naszej łyżwy, gdyż wystarczyłoby powiązać łyżwę z urządzeniem, aby połączenie było przez cały czas blokowane (drugie urządzenie nie mogło nawiązać połączenie), Możliwa jest również zmiana nazwy urządzenia tak, aby podszywało się pod telefon z otwartym połączeniem Bluetooth, co zmyliłoby potencjalnego atakującego.
[Dzięki M4p3x za wskazówkę]