Cel mai faimos Mi Electric Scooter M365 de la Xiaomi es una dintre cele mai populare scutere electrice a momentului. Construcția și prețul său excelent fac ca produsul să fie un bestseller în întreaga lume și, așa cum este de obicei cu aceste produse de succes, ele devin și punctul central al atenția hackerilor.
O defecțiune de securitate a Xiaomi M365 permite controlul de la distanță
grup de securitate simperium a publicat un raport în care demonstrează că Scuterul Xiaomi suferă de o vulnerabilitate care vă permite să preluați controlul de la distanță al dispozitivului și rulați comenzi fără nicio acreditare necesară pentru aceasta. Conform celor spuse de ei, procesul de înregistrare a utilizatorului este necesar doar în aplicația oficială, totuși, într-o conexiune directă cu dispozitivul, nu este necesară nici un tip de autentificare, prin urmare comenzile pot fi executate liber.
Cercetătorii noștri au reușit să pirateze unul dintre scuterele electrice de top – Xiaomi M365 – și să blocheze, să frâneze și/sau să accelereze în mod eficient trotinetele oricărui călăreț care trece. Citiți mai multe despre descoperirea din dovada conceptului: https://t.co/w5kKAerEXJ pic.twitter.com/kcNSFuifDE
— ZIMPERIUM (@ZIMPERIUM) 12 februarie 2019
Odată conectat la computer, atacatorul ar putea lua telecomanda de la trotineta la o distanta maxima de aproximativ 100 de metri pentru a executa comenzi precum skate lock o accelerând și frânând fără niciun motiv aparent, acțiuni care ar putea provoca, fără îndoială, un accident, afectând atât persoana care conduce trotineta, cât și pe oricine altcineva din apropiere. Pentru a face acest lucru ar trebui instalat un malware deghizat în firmware, operație pe care modulul Bluetooth al scuterului nu o supraveghează în niciun moment, astfel încât atacatorul ar avea libertate deplină să instaleze orice își dorește. În videoclipul de mai jos, publicat de Zimperium, puteți vedea cum o aplicație creată pentru ocazie de către grupul de securitate este capabilă să blocheze trotineta electrică de la distanță.
După cum sa raportat, Xiaomi a fost conștient de această problemă de câteva săptămâni și lucrează în prezent la o remediere care va veni sub forma unei actualizări de sistem. Totuși, totul indică faptul că sarcina nu va fi ușoară, deoarece modul bluetooth care a fost afectat depinde de un producător terță parte, așa că vor trebui să lucreze împreună pentru a lansa un fel de soluție comună. Deocamdată, acestea sunt toate informațiile despre care se cunoaște, așa că va trebui să fim atenți înainte de posibila apariție a unor aplicații rău intenționate care încurajează acest tip de abateri.
[RelatedNotice blank title=»Acestea sunt cele 5 trotinete electrice pe care le puteți cumpăra de pe Amazon»]https://eloutput.com/input/guide-compras/patinetes-electricos-amazon/[/RelatedNotice]
Cum să eviți hackul scuterului tău Xiaomi?
Din păcate, eroarea afectează nivelul sistemului, așa că nu există nicio modalitate de a le împiedica să se conecteze la scuter de la distanță. Este inutil să stabilim o parolă complexă prin intermediul aplicației oficiale, deoarece așa cum am comentat anterior, sistemul nu necesită nici un tip de autentificare la realizarea unei conexiuni directe. Singura soluție deocamdată este să așteptați ca producătorul să lanseze actualizarea cu patch-ul de securitate, așa că între timp va trebui să aveți grijă.
actualizare: Actualizăm articolul cu declarațiile oficiale ale Xiaomi cu privire la caz.
Xiaomi este conștient de vulnerabilitatea pe care hackerii cu intenții rău intenționate o pot exploata pentru a perturba operațiunile Mi Electric Scooter. De îndată ce am aflat despre această vulnerabilitate, ne-am străduit să o reparăm și să eliminăm toate aplicațiile neautorizate. Între timp, echipele de produse și securitate ale Xiaomi pregătesc o actualizare OTA care va fi disponibilă cât mai curând posibil. Xiaomi apreciază feedbackul din partea utilizatorilor noștri și a comunității de securitate. Ne angajăm să ne îmbunătățim constant pe baza tuturor feedback-ului pentru a construi produse mai bune și mai sigure.
Actualizare 2: De la comunitatea de utilizatori mixx.io ei raportează că problema de securitate a conexiunii Bluetooth a fost un secret deschis de mai bine de un an. Acest defect a fost folosit pentru a instala firmware-uri de casă care au permis creșterea puterii patinei, așa că descoperirea ar putea să nu pară atât de nouă. Cu toate acestea, studiile Zimperium au arătat gravitatea problemei și au servit pentru a înțelege cât de departe s-ar putea ajunge cu un astfel de acces.
În plus, acest utilizator a comentat o soluție ingenioasă care ar fi folosită pentru a bloca accesul de la distanță la skate-ul nostru, deoarece ar fi suficient să legați skate-ul cu un dispozitiv, astfel încât conexiunea să fie blocată în orice moment (un al doilea dispozitiv nu ar putea stabilirea conexiunii), De asemenea, este posibil să se schimbe numele dispozitivului astfel încât acesta să se prefacă a fi un telefon cu o conexiune Bluetooth deschisă, lucru care ar induce în eroare posibilul atacator.
[Mulțumesc lui M4p3x pentru sfat]