Најпознатија Ми електрични скутер М365 компаније Ксиаоми es један од најпопуларнијих електричних скутера тренутка. Његова одлична конструкција и цена чине производ бестселером у целом свету, а као што је уобичајено код ових успешних производа, они такође постају фокус пажња хакера.
Безбедносна грешка у Ксиаоми М365 омогућава даљинско управљање
безбедносна група Зимпериум је објавио извештај у којем то показују Ксиаоми-јев скутер пати од рањивости која вам омогућава да преузмете даљинску контролу над уређајем и покренути команде без икаквих акредитива потребних за то. Како кажу, процес регистрације корисника је неопходан само у званичној апликацији, међутим, у директној вези са уређајем није потребна никаква врста аутентификације, па се команде могу слободно извршавати.
Наши истраживачи су успели да хакују један од водећих електричних скутера – Ксиаоми М365 – и ефикасно закључају, коче и/или убрзају скутере свих возача који пролазе. Прочитајте више о открићу из концепта доказа: https://t.co/w5kKAerEXJ пиц.твиттер.цом/кцНСФуифДЕ
— ЗИМПЕРИЈУМ (@ЗИМПЕРИЈУМ) КСНУМКС Фебруари оф КСНУМКС
Једном када се повеже са рачунаром, нападач може да преузме даљинско управљање од скутера на максималној удаљености од приближно 100 метара за извршавање команди као нпр скате лоцк o убрзавање и кочење без икаквог разлога, радње које би несумњиво могле да изазову несрећу, утичући и на особу која вози скутер и на било кога другог у близини. Да би се то урадило, требало би да се инсталира малвер прерушен у фирмвер, операција коју Блуетоотх модул скутера не надзире ни у једном тренутку, тако да би нападач имао потпуну слободу да инсталира шта год жели. У видеу испод, који је објавио Зимпериум, можете видети како апликација коју је за ту прилику креирала безбедносна група може да блокира електрични скутер из даљине.
Како је саопштено, Ксиаоми већ недељама је свестан овог проблема и тренутно раде на поправци која ће доћи у облику ажурирања система. Међутим, све указује на то да задатак неће бити лак, будући да блуетоотх модул то је погођено зависи од произвођача треће стране, тако да ће морати да раде заједно на лансирању неке врсте заједничког решења. За сада су ово све информације које се о томе знају, па ћемо морати да будемо опрезни пре могуће појаве злонамерних апликација које подстичу овакву врсту недела.
[РелатедНотице бланк титле=»Ово је 5 електричних скутера које можете купити на Амазону»]хттпс://eloutput.цом/инпут/гуиде-цомпрас/патинетес-елецтрицос-амазон/[/РелатедНотице]
Како избећи хакирање вашег Ксиаоми скутера?
Нажалост, грешка утиче на ниво система, тако да не постоји начин да их спречите да се даљински повежу са скутером. Бескорисно је успостављати сложену лозинку преко званичне апликације, јер као што смо раније коментарисали, систем не захтева никакву врсту аутентификације приликом директне везе. Једино решење за сада је да сачекате да произвођач објави ажурирање са безбедносном закрпом, тако да ћете у међувремену морати да будете опрезни.
Ажурирај: Ажурирамо чланак са званичним изјавама компаније Ксиаоми о случају.
Ксиаоми је свестан рањивости коју хакери са злонамерном намером могу да искористе да ометају рад Ми електричног скутера. Чим смо сазнали за ову рањивост, радили смо на томе да је поправимо и уклонимо све неовлашћене апликације. У међувремену, Ксиаоми производи и безбедносни тимови припремају ОТА ажурирање које ће бити доступно што је пре могуће. Ксиаоми цени повратне информације наших корисника и безбедносне заједнице. Посвећени смо сталном побољшању на основу свих повратних информација како бисмо направили боље и безбедније производе.
Ажурирање 2: Фром заједница корисника микк.ио извештавају да је проблем безбедности Блуетоотх везе био јавна тајна више од годину дана. Ова мана је коришћена за инсталирање домаћих фирмвера који су омогућавали повећање снаге скејта, тако да откриће можда не изгледа тако ново. Међутим, Зимпериум-ове студије су показале озбиљност проблема и послужиле су да се схвати колико далеко се може ићи са таквим приступом.
Поред тога, овај корисник је прокоментарисао генијално решење којим би се блокирао даљински приступ нашем скејту, јер би било довољно повезати скејт са уређајем тако да је веза у сваком тренутку блокирана (други уређај не би могао успоставите везу), такође је могуће променити назив уређаја тако да се претвара да је телефон са отвореном Блуетоотх везом, што би могло довести у заблуду могућег нападача.
[Хвала М4п3к на савету]