Ang pinakasikat Mi Electric Scooter M365 mula sa Xiaomi es isa sa pinakasikat na electric scooter ng sandali. Ang mahusay na konstruksyon at presyo nito ay ginagawang bestseller ang produkto sa buong mundo, at gaya ng nakasanayan sa mga matagumpay na produktong ito, nagiging focus din sila ng pansin ng mga hacker.
Ang isang kakulangan sa seguridad sa Xiaomi M365 ay nagbibigay-daan sa remote control nito
pangkat ng seguridad simperium ay naglathala ng isang ulat kung saan ipinakita nila iyon Ang scooter ni Xiaomi naghihirap mula sa isang kahinaan na nagbibigay-daan sa iyong kunin ang remote control ng device at magpatakbo ng mga utos nang walang anumang kredensyal na kailangan para dito. Ayon sa kanilang sinasabi, ang proseso ng pagpaparehistro ng gumagamit ay kinakailangan lamang sa opisyal na aplikasyon, gayunpaman, sa isang direktang koneksyon sa aparato, walang uri ng pagpapatunay ang kinakailangan, samakatuwid ang mga utos ay maaaring malayang maisagawa.
Nagawa ng aming mga mananaliksik ang pag-hack sa isa sa mga nangungunang electric scooter – ang Xiaomi M365 – at epektibong naka-lock, nagpreno at/o nagpapabilis sa mga scooter ng sinumang dumadaan na rider. Magbasa pa tungkol sa pagtuklas mula sa proof-of concept: https://t.co/w5kKAerEXJ pic.twitter.com/kcNSFuifDE
— ZIMPERIUM (@ZIMPERIUM) 12 ng Pebrero 2019
Kapag nakakonekta na sa computer, maaaring kunin ng attacker ang remote control mula sa scooter sa maximum na distansya na humigit-kumulang 100 metro upang magsagawa ng mga utos tulad ng lock ng skate o bumibilis at nagpepreno sa hindi malamang dahilan, mga pagkilos na walang alinlangan na maaaring magdulot ng aksidente, na makakaapekto sa taong nakasakay sa scooter at sa sinumang malapit. Para magawa ito, kailangang i-install ang malware na itinago bilang firmware, isang operasyon na hindi pinangangasiwaan ng Bluetooth module ng scooter anumang oras, upang magkaroon ng ganap na kalayaan ang umaatake na i-install ang anumang gusto niya. Sa video sa ibaba, na inilathala ng Zimperium, makikita mo kung paano ang isang application na nilikha para sa okasyon ng grupo ng seguridad ay may kakayahang harangan ang electric scooter mula sa malayo.
Tulad ng iniulat, Xiaomi Alam na ang isyung ito sa loob ng ilang linggo, at kasalukuyan silang gumagawa ng pag-aayos na darating sa anyo ng pag-update ng system. Gayunpaman, ang lahat ay nagpapahiwatig na ang gawain ay hindi magiging madali, dahil ang module ng bluetooth na naapektuhan ay depende sa isang third-party na manufacturer, kaya kailangan nilang magtulungan upang maglunsad ng ilang uri ng pinagsamang solusyon. Sa ngayon, ito ang lahat ng impormasyong nalalaman tungkol dito, kaya kailangan nating mag-ingat bago ang posibleng paglitaw ng mga nakakahamak na application na naghihikayat sa ganitong uri ng maling gawain.
[RelatedNotice blank title=»Ito ang 5 electric scooter na mabibili mo sa Amazon»]https://eloutput.com/input/guide-compras/patinetes-electricos-amazon/[/RelatedNotice]
Paano maiiwasan ang pag-hack ng iyong Xiaomi scooter?
Sa kasamaang palad, ang error ay nakakaapekto sa antas ng system, kaya walang paraan upang maiwasan ang mga ito mula sa pagkonekta sa scooter nang malayuan. Walang silbi na magtatag ng isang kumplikadong password sa pamamagitan ng opisyal na aplikasyon, dahil tulad ng dati naming komento, ang system ay hindi nangangailangan ng anumang uri ng pagpapatunay kapag gumagawa ng direktang koneksyon. Ang tanging solusyon sa ngayon ay maghintay para sa tagagawa na ilabas ang pag-update gamit ang patch ng seguridad, kaya sa ngayon ay kailangan mong mag-ingat.
I-update: Ina-update namin ang artikulo sa mga opisyal na pahayag ng Xiaomi sa kaso.
Alam ni Xiaomi ang kahinaan na maaaring pagsamantalahan ng mga hacker na may malisyosong hangarin upang guluhin ang mga operasyon ng Mi Electric Scooter. Sa sandaling nalaman namin ang tungkol sa kahinaan na ito, nagsusumikap kaming ayusin ito at alisin ang lahat ng hindi awtorisadong application. Samantala, naghahanda ang produkto at security team ng Xiaomi ng OTA update na magiging available sa lalong madaling panahon. Pinahahalagahan ng Xiaomi ang feedback mula sa aming mga user at komunidad ng seguridad. Kami ay nakatuon sa patuloy na pagpapabuti batay sa lahat ng feedback upang makabuo ng mas mahusay at mas ligtas na mga produkto.
Pag-update ng 2: Mula sa komunidad ng mga gumagamit mixx.io ulat nila na ang problema sa seguridad ng koneksyon sa Bluetooth ay isang bukas na lihim sa loob ng higit sa isang taon. Ginamit ang kapintasan na ito upang mag-install ng mga lutong bahay na firmware na nagpapahintulot sa pagtaas ng lakas ng skate, kaya maaaring hindi mukhang bago ang pagtuklas. Gayunpaman, ipinakita ng mga pag-aaral ng Zimperium ang kabigatan ng problema, at nagsilbi upang maunawaan kung hanggang saan ang mararating ng isang tao sa ganoong pag-access.
Bilang karagdagan, ang user na ito ay nagkomento sa isang mapanlikhang solusyon na gagamitin upang harangan ang malayuang pag-access sa aming skate, dahil ito ay sapat na upang i-link ang skate sa isang device upang ang koneksyon ay ma-block sa lahat ng oras (ang pangalawang aparato ay hindi maaaring itatag ang koneksyon), Posible ring palitan ang pangalan ng device upang magkunwari itong isang teleponong may bukas na koneksyon sa Bluetooth, isang bagay na magpapaligaw sa posibleng umatake.
[Salamat sa M4p3x para sa tip]