Den mest berömda Mi Electric Scooter M365 från Xiaomi es en av de mest populära elskotrarna för tillfället. Dess utmärkta konstruktion och pris gör produkten till en storsäljare över hela världen, och som är vanligt med dessa framgångsrika produkter blir de också i fokus för hackares uppmärksamhet.
Ett säkerhetsfel i Xiaomi M365 tillåter dess fjärrkontroll
säkerhetsgrupp Zimperium har publicerat en rapport där de visar det Xiaomis skoter lider av en sårbarhet som gör att du kan ta fjärrkontroll av enheten och kör kommandon utan att det behövs några meriter för det. Enligt vad de säger är användarregistreringsprocessen endast nödvändig i den officiella applikationen, men i direkt anslutning till enheten krävs ingen typ av autentisering, därför kan kommandon köras fritt.
Våra forskare kunde hacka sig in i en av de ledande elektriska skotrarna – Xiaomi M365 – och effektivt låsa, bromsa och/eller accelerera skotern för alla passerande förare. Läs mer om upptäckten från proof-of-konceptet: https://t.co/w5kKAerEXJ pic.twitter.com/kcNSFuifDE
— ZIMPERIUM (@ZIMPERIUM) 12 februari 2019
När angriparen väl är ansluten till datorn kan angriparen ta fjärrkontrollen från skotern på ett maximalt avstånd av cirka 100 meter för att utföra kommandon som t.ex skridskolås o accelerera och bromsa utan någon uppenbar anledning, handlingar som utan tvekan kan orsaka en olycka, som påverkar både den som åker skoter och någon annan i närheten. För att göra detta skulle skadlig programvara förklädd som firmware behöva installeras, en operation som skoterns Bluetooth-modul inte övervakar vid något tillfälle, så angriparen skulle ha fullständig frihet att installera vad han ville. I videon nedan, publicerad av Zimperium, kan du se hur en applikation skapad för tillfället av säkerhetsgruppen kan blockera elskotern på avstånd.
Som rapporterats, Xiaomi har varit medveten om det här problemet i flera veckor, och de arbetar för närvarande på en fix som kommer i form av en systemuppdatering. Allt tyder dock på att uppgiften inte kommer att bli lätt, eftersom bluetooth-modul som har påverkats beror på en tredjepartstillverkare, så de måste arbeta tillsammans för att lansera någon form av gemensam lösning. För närvarande är detta all information som är känd om det, så vi måste vara försiktiga innan det eventuella uppkomsten av skadliga applikationer som uppmuntrar denna typ av illdåd.
[RelatedNotice blank title=»Detta är de 5 elektriska skotrarna du kan köpa på Amazon»]https://eloutput.com/input/guide-compras/patinetes-electricos-amazon/[/RelatedNotice]
Hur undviker man hacket på din Xiaomi-skoter?
Tyvärr påverkar felet systemnivån, så det finns inget sätt att hindra dem från att ansluta till skotern på distans. Det är meningslöst att skapa ett komplext lösenord genom den officiella applikationen, eftersom som vi tidigare har kommenterat, systemet kräver ingen typ av autentisering när du gör en direkt anslutning. Den enda lösningen för nu är att vänta på att tillverkaren släpper uppdateringen med säkerhetskorrigeringen, så under tiden måste du vara försiktig.
Uppdatera: Vi uppdaterar artikeln med Xiaomis officiella uttalanden om fallet.
Xiaomi är medveten om sårbarheten som hackare med uppsåt kan utnyttja för att störa driften av Mi Electric Scooter. Så fort vi fick reda på den här sårbarheten har vi arbetat med att fixa den och ta bort alla obehöriga applikationer. Samtidigt förbereder Xiaomis produkt- och säkerhetsteam en OTA-uppdatering som kommer att finnas tillgänglig så snart som möjligt. Xiaomi värdesätter feedback från våra användare och säkerhetsgemenskapen. Vi är fast beslutna att ständigt förbättra baserat på all feedback för att bygga bättre och säkrare produkter.
2-uppdatering: Från användarnas gemenskap mixx.io rapporterar de att säkerhetsproblemet med Bluetooth-anslutningen var en öppen hemlighet i mer än ett år. Denna brist användes för att installera hemmagjord firmware som gjorde det möjligt att öka skridskostyrkan, så upptäckten kanske inte verkar så ny. Zimperiums studier har dock visat på allvaret i problemet och har tjänat till att förstå hur långt man kan gå med sådan tillgång.
Dessutom har den här användaren kommenterat en genialisk lösning som skulle användas för att blockera fjärråtkomst till vår skridsko, eftersom det skulle räcka att länka skridskorna till en enhet så att anslutningen är blockerad hela tiden (en andra enhet kunde inte upprätta anslutningen), Det är också möjligt att ändra namnet på enheten så att den utger sig för att vara en telefon med en öppen Bluetooth-anslutning, något som skulle vilseleda den eventuella angriparen.
[Tack till M4p3x för tipset]