En ünlü Xiaomi'den Mi Elektrikli Scooter M365 es en popüler elektrikli scooterlardan biri o anın. Mükemmel yapısı ve fiyatı, ürünü tüm dünyada en çok satan ürün haline getiriyor ve bu başarılı ürünlerde olduğu gibi, aynı zamanda ilgi odağı haline geliyor. bilgisayar korsanlarının dikkatine.
Xiaomi M365'teki bir güvenlik açığı, uzaktan kumandasına izin veriyor
güvenlik grubu Zimperium olduğunu kanıtladıkları bir rapor yayınladı. Xiaomi'nin scooter'ı cihazın uzaktan kontrolünü ele geçirmenize izin veren bir güvenlik açığından muzdariptir ve komutları çalıştır bunun için gerekli herhangi bir kimlik bilgisi olmadan. Söylediklerine göre, kullanıcı kayıt işlemi yalnızca resmi başvuruda gereklidir, ancak cihazla doğrudan bağlantıda herhangi bir kimlik doğrulaması gerekmez, bu nedenle komutlar serbestçe çalıştırılabilir.
Araştırmacılarımız, önde gelen elektrikli scooterlardan biri olan Xiaomi M365'i hacklemeyi ve yoldan geçen herhangi bir sürücünün scooter'ını etkili bir şekilde kilitlemeyi, frenlemeyi ve/veya hızlandırmayı başardı. Kavram ispatından keşif hakkında daha fazlasını okuyun: https://t.co/w5kKAerEXJ pic.twitter.com/kcNSFuifDE
— ZİMPERIUM (@ZİMPERIUM) Şubat 12 arasında 2019
Bilgisayara bağlandıktan sonra, saldırgan uzaktan kumanda gibi komutları yerine getirmek için maksimum yaklaşık 100 metre mesafeden scooter'dan paten kilidi o belirgin bir sebep olmadan hızlanma ve frenleme, hem scooter'ı kullanan kişiyi hem de yakınlardaki herkesi etkileyen, şüphesiz bir kazaya neden olabilecek eylemler. Bunu yapmak için, aygıt yazılımı kılığına girmiş kötü amaçlı yazılımın yüklenmesi gerekir; bu, scooter'ın Bluetooth modülünün hiçbir zaman denetlemediği bir işlemdir; böylece saldırgan, istediğini yükleme konusunda tam özgürlüğe sahip olur. Zimperium tarafından yayınlanan aşağıdaki videoda, güvenlik grubu tarafından olay için oluşturulan bir uygulamanın elektrikli scooter'ı uzaktan nasıl engelleyebildiğini görebilirsiniz.
Bildirdiği gibi, Xiaomi haftalardır bu sorunun farkında ve şu anda bir sistem güncellemesi şeklinde gelecek bir düzeltme üzerinde çalışıyorlar. Ancak, her şey görevin kolay olmayacağını gösteriyor çünkü bluetooth modülü etkilenen üçüncü taraf bir üreticiye bağlıdır, bu nedenle bir tür ortak çözüm başlatmak için birlikte çalışmak zorunda kalacaklar. Şimdilik, hakkında bilinen tüm bilgiler bu kadar, bu nedenle bu tür suistimalleri teşvik eden kötü amaçlı uygulamaların ortaya çıkma olasılığına karşı dikkatli olmamız gerekecek.
[RelatedNotice empty title=»Bunlar Amazon'dan satın alabileceğiniz 5 elektrikli scooter'dır»]https://eloutput.com/input/guide-compras/patinetes-electricos-amazon/[/RelatedNotice]
Xiaomi scooter'ınızın hacklenmesini nasıl önleyebilirsiniz?
Ne yazık ki hata sistem seviyesini etkiliyor, bu yüzden scooter'a uzaktan bağlanmalarını engellemenin bir yolu yok. Daha önce yorumladığımız gibi, resmi başvuru yoluyla karmaşık bir şifre oluşturmanın faydası yoktur. sistem herhangi bir kimlik doğrulama türü gerektirmez doğrudan bağlantı yaparken. Şimdilik tek çözüm, üreticinin güvenlik yaması içeren güncellemeyi yayınlamasını beklemek, bu nedenle bu arada dikkatli olmanız gerekecek.
Actualización: Konuyla ilgili Xiaomi'nin resmi açıklamaları ile makaleyi güncelliyoruz.
Xiaomi, kötü niyetli bilgisayar korsanlarının Mi Elektrikli Scooter'ın operasyonlarını bozmak için yararlanabilecekleri güvenlik açığının farkındadır. Bu güvenlik açığını öğrenir öğrenmez düzeltmek ve yetkisiz tüm uygulamaları kaldırmak için çalışıyoruz. Bu arada, Xiaomi'nin ürün ve güvenlik ekipleri, mümkün olan en kısa sürede kullanıma sunulacak bir OTA güncellemesi hazırlıyor. Xiaomi, kullanıcılarımızdan ve güvenlik topluluğundan gelen geri bildirimlere değer verir. Daha iyi ve daha güvenli ürünler oluşturmak için tüm geri bildirimlere dayanarak sürekli gelişmeyi taahhüt ediyoruz.
2 Güncellemesi: İtibaren kullanıcı topluluğu mixx.io rapor ediyorlar Bluetooth bağlantı güvenliği sorununun bir yılı aşkın süredir açık bir sır olduğunu söyledi. Bu kusur, patenin gücünü artırmaya izin veren ev yapımı yazılımları yüklemek için kullanıldı, bu nedenle keşif o kadar da yeni görünmeyebilir. Ancak Zimperium'un çalışmaları sorunun ciddiyetini göstermiş ve böyle bir erişimle ne kadar ileri gidilebileceğini anlamaya hizmet etmiştir.
Ek olarak, bu kullanıcı, patenimize uzaktan erişimi engellemek için kullanılacak dahice bir çözüm hakkında yorum yaptı, çünkü pateni bir cihaza bağlamak, bağlantının her zaman engellenmesi için yeterli olacaktır (ikinci bir cihaz giremez). Bağlantıyı kurmak), cihazın adını açık bir Bluetooth bağlantısı olan bir telefon gibi gösterecek şekilde değiştirmek de mümkündür, bu olası saldırganı yanıltacaktır.
[İpucu için M4p3x'e teşekkürler]