Najbolj znan Mi Electric Scooter M365 proizvajalca Xiaomi es eden najbolj priljubljenih električnih skuterjev trenutka. Zaradi odlične konstrukcije in cene je izdelek prodajna uspešnica po vsem svetu, in kot je običajno pri teh uspešnih izdelkih, postanejo tudi v središču pozornosti pozornost hekerjev.
Varnostna napaka v Xiaomi M365 omogoča daljinsko upravljanje
varnostna skupina Zimperij objavila poročilo, v katerem dokazujejo, da Xiaomijev skuter trpi zaradi ranljivosti, ki vam omogoča daljinski nadzor nad napravo in zagon ukazov brez kakršnih koli poverilnic, potrebnih za to. Po njihovem mnenju je postopek registracije uporabnika potreben samo v uradni aplikaciji, vendar v neposredni povezavi z napravo ni potrebna nobena vrsta avtentikacije, zato je ukaze mogoče izvajati prosto.
Našim raziskovalcem je uspelo vdreti v enega izmed vodilnih električnih skuterjev – Xiaomi M365 – in učinkovito zakleniti, zavirati in/ali pospešiti skuterje vseh mimovozečih voznikov. Preberite več o odkritju iz koncepta dokaza: https://t.co/w5kKAerEXJ pic.twitter.com/kcNSFuifDE
— ZIMPERIUM (@ZIMPERIUM) Februar 12 od 2019
Ko je napadalec povezan z računalnikom, lahko vzame daljinski upravljalnik od skiroja na razdalji največ približno 100 metrov za izvajanje ukazov kot npr ključavnica za drsalke o pospeševanje in zaviranje brez očitnega razloga, dejanja, ki bi nedvomno lahko povzročila nesrečo, prizadelo bi tako osebo, ki se vozi s skuterjem, kot vse druge v bližini. Da bi to naredili, bi bilo treba namestiti zlonamerno programsko opremo, preoblečeno v vdelano programsko opremo, kar je operacija, ki je modul Bluetooth skuterja nikoli ne nadzoruje, tako da bi imel napadalec popolno svobodo pri namestitvi, kar hoče. V spodnjem videu, ki ga je objavil Zimperium, si lahko ogledate, kako lahko aplikacija, ki jo je za to priložnost ustvarila varnostna skupina, na daljavo blokira električni skuter.
Kot poročajo, Xiaomi se te težave zaveda že tedne in trenutno delajo na popravku, ki bo prišel v obliki posodobitve sistema. Vse pa kaže, da naloga ne bo lahka, saj bluetooth modul ki je bil prizadet, je odvisen od proizvajalca tretje osebe, zato bodo morali sodelovati, da bodo predstavili nekakšno skupno rešitev. Za zdaj so to vse znane informacije o tem, zato bomo morali biti previdni pred morebitnim pojavom zlonamernih aplikacij, ki spodbujajo tovrstna dejanja.
[RelatedNotice blank title=»To je 5 električnih skuterjev, ki jih lahko kupite na Amazonu»]https://eloutput.com/input/guide-compras/patinetes-electricos-amazon/[/RelatedNotice]
Kako se izogniti vdoru v vaš skuter Xiaomi?
Na žalost napaka vpliva na sistemsko raven, zato jim ni mogoče preprečiti, da bi se na daljavo povezali s skuterjem. Neuporabno je vzpostaviti zapleteno geslo prek uradne aplikacije, saj kot smo že komentirali, sistem ne zahteva nobene vrste avtentikacije pri neposredni povezavi. Edina rešitev zaenkrat je, da počakate, da proizvajalec izda posodobitev z varnostnim popravkom, tako da boste v tem času morali biti previdni.
Posodobi: Članek posodabljamo z uradnimi izjavami Xiaomi o primeru.
Xiaomi se zaveda ranljivosti, ki jo lahko hekerji z zlonamernimi nameni izkoristijo za motenje delovanja električnega skuterja Mi. Takoj ko smo izvedeli za to ranljivost, smo si prizadevali, da bi jo odpravili in odstranili vse nepooblaščene aplikacije. Medtem Xiaomijeve ekipe za izdelke in varnost pripravljajo posodobitev OTA, ki bo na voljo takoj, ko bo mogoče. Xiaomi ceni povratne informacije naših uporabnikov in varnostne skupnosti. Zavezani smo k nenehnemu izboljševanju na podlagi vseh povratnih informacij za izdelavo boljših in varnejših izdelkov.
Posodobitev 2: Od skupnosti uporabnikov mixx.io poročajo da je bila varnostna težava povezave Bluetooth javna skrivnost več kot eno leto. Ta napaka je bila uporabljena za namestitev domačih vdelanih programov, ki so omogočili povečanje moči drsalke, zato se odkritje morda ne zdi tako novo. Vendar pa so študije Zimperiuma pokazale resnost problema in pomagale razumeti, kako daleč bi lahko šli s takim dostopom.
Poleg tega je ta uporabnik komentiral domiselno rešitev, ki bi se uporabljala za blokiranje oddaljenega dostopa do našega skateja, saj bi bilo dovolj, da skate povežete z napravo, tako da je povezava ves čas blokirana (druga naprava ne bi mogla vzpostaviti povezavo), je mogoče tudi spremeniti ime naprave, tako da se predstavlja kot telefon z odprto povezavo Bluetooth, kar bi morebitnega napadalca zavedlo.
[Hvala M4p3x za namig]