Me i famshmi Mi Electric Scooter M365 nga Xiaomi es një nga skuterët elektrikë më të njohur të momentit. Ndërtimi dhe çmimi i tij i shkëlqyeshëm e bëjnë produktin një bestseller në mbarë botën, dhe siç ndodh zakonisht me këto produkte të suksesshme, ato gjithashtu bëhen fokusi i vëmendjen e hakerëve.
Një e metë sigurie në Xiaomi M365 lejon kontrollin e tij në distancë
grup sigurie simperium ka publikuar një raport në të cilin dëshmojnë se Skuteri i Xiaomi-t vuan nga një cenueshmëri që ju lejon të merrni kontrollin në distancë të pajisjes dhe ekzekutoni komandat pa asnjë kredencial të nevojshëm për të. Sipas asaj që thonë ata, procesi i regjistrimit të përdoruesit është i nevojshëm vetëm në aplikacionin zyrtar, por në lidhje direkte me pajisjen nuk kërkohet asnjë lloj autentikimi, prandaj komandat mund të ekzekutohen lirshëm.
Studiuesit tanë ishin në gjendje të sulmonin një nga skuterët kryesorë elektrikë – Xiaomi M365 – dhe të bllokonin, frenonin dhe/ose përshpejtonin në mënyrë efektive skuterët e çdo kalorësie që kalonin. Lexoni më shumë rreth zbulimit nga koncepti i vërtetimit: https://t.co/w5kKAerEXJ pic.twitter.com/kcNSFuifDE
— ZIMPERIUM (@ZIMPERIUM) 12 Shkurt i 2019
Pasi të lidhet me kompjuterin, sulmuesi mund ta marrë atë telekomandë nga skuteri në një distancë maksimale afërsisht 100 metra për të ekzekutuar komanda si p.sh bllokohet patina o përshpejtimin dhe frenimin pa ndonjë arsye të dukshme, veprime që padyshim mund të shkaktojnë një aksident, duke prekur si personin që hipte në skuter ashtu edhe këdo tjetër aty pranë. Për ta bërë këtë, do të duhej të instalohej malware i maskuar si firmware, një operacion që moduli Bluetooth i skuterit nuk e mbikëqyr në asnjë moment, kështu që sulmuesi do të kishte liri të plotë për të instaluar çfarëdo që të donte. Në videon e mëposhtme, të publikuar nga Zimperium, mund të shihni se si një aplikacion i krijuar për këtë rast nga grupi i sigurisë është në gjendje të bllokojë skuterin elektrik nga distanca.
Siç është raportuar, Xiaomi ka qenë në dijeni të këtij problemi për javë të tëra, dhe ata aktualisht janë duke punuar për një rregullim që do të vijë në formën e një përditësimi të sistemit. Megjithatë, gjithçka tregon se detyra nuk do të jetë e lehtë, pasi moduli bluetooth që është prekur varet nga një prodhues i palës së tretë, kështu që ata do të duhet të punojnë së bashku për të nisur një lloj zgjidhjeje të përbashkët. Për momentin, këto janë të gjitha informacionet që dihen për të, kështu që do të duhet të jemi të kujdesshëm përpara shfaqjes së mundshme të aplikacioneve me qëllim të keq që inkurajojnë këtë lloj keqbërjeje.
[RelatedNotice blank title=»Këta janë 5 skuterët elektrikë që mund të blini në Amazon»]https://eloutput.com/input/guide-compras/patinetes-electricos-amazon/[/RelatedNotice]
Si të shmangni hakimin e skuterit tuaj Xiaomi?
Fatkeqësisht, gabimi ndikon në nivelin e sistemit, kështu që nuk ka asnjë mënyrë për t'i parandaluar ata të lidhen me skuterin nga distanca. Është e kotë të vendosësh një fjalëkalim kompleks përmes aplikacionit zyrtar, pasi siç kemi komentuar më parë, sistemi nuk kërkon asnjë lloj vërtetimi kur bëni një lidhje të drejtpërdrejtë. Zgjidhja e vetme tani për tani është të prisni që prodhuesi të lëshojë përditësimin me patch-in e sigurisë, kështu që ndërkohë do të duhet të jeni të kujdesshëm.
Update: Ne e përditësojmë artikullin me deklaratat zyrtare të Xiaomi për rastin.
Xiaomi është i vetëdijshëm për cenueshmërinë që hakerat me qëllim të keq mund të shfrytëzojnë për të ndërprerë funksionimin e Mi Electric Scooter. Sapo mësuam për këtë dobësi, ne kemi punuar për ta rregulluar atë dhe për të hequr të gjitha aplikacionet e paautorizuara. Ndërkohë, produkti dhe ekipet e sigurisë së Xiaomi po përgatisin një përditësim OTA që do të jetë i disponueshëm sa më shpejt të jetë e mundur. Xiaomi vlerëson reagimet nga përdoruesit tanë dhe komuniteti i sigurisë. Ne jemi të përkushtuar të përmirësohemi vazhdimisht bazuar në të gjitha reagimet për të ndërtuar produkte më të mira dhe më të sigurta.
Azhurnoni 2: Nga komuniteti i përdoruesve mixx.io ata raportojnë se problemi i sigurisë së lidhjes Bluetooth ishte një sekret i hapur për më shumë se një vit. Kjo e metë u përdor për të instaluar firmware shtëpiak që lejonin rritjen e fuqisë së patinave, kështu që zbulimi mund të mos duket aq i ri. Megjithatë, studimet e Zimperium kanë treguar seriozitetin e problemit dhe kanë shërbyer për të kuptuar se sa larg mund të shkohet me një akses të tillë.
Përveç kësaj, ky përdorues ka komentuar një zgjidhje gjeniale që do të përdorej për të bllokuar aksesin në distancë në patina tonë, pasi do të mjaftonte të lidhni patina me një pajisje në mënyrë që lidhja të bllokohej gjithmonë (një pajisje e dytë nuk mund të krijoni lidhjen), është gjithashtu e mundur të ndryshoni emrin e pajisjes në mënyrë që të pretendojë të jetë një telefon me një lidhje të hapur Bluetooth, diçka që do të mashtronte sulmuesin e mundshëm.
[Faleminderit M4p3x për këshillën]