最有名 小米的 Mi 电动滑板车 M365 es 最受欢迎的电动滑板车之一 的那一刻。 其出色的结构和价格使该产品在世界范围内畅销,并且与这些成功的产品一样,它们也成为人们关注的焦点 黑客关注.
小米M365存在安全漏洞,可实现远程控制
安全组 Zimperium 发表了一份报告,其中他们证明 小米的滑板车 存在允许您远程控制设备的漏洞,并且 运行命令 无需任何凭据。 据他们所说,只有在官方应用程序中才需要用户注册过程,但是在与设备直接连接时,不需要任何类型的身份验证,因此可以自由执行命令。
我们的研究人员能够侵入其中一款领先的电动滑板车——小米 M365——并有效地锁定、制动和/或加速任何经过的骑手的滑板车。 从概念验证中阅读有关发现的更多信息: https://t.co/w5kKAerEXJ pic.twitter.com/kcNSFuifDE
— 津佩里亚 (@ZIMPERIUM) 12月2019
一旦连接到计算机,攻击者就可以获取 遥控器 从踏板车最远约 100 米的距离执行命令,例如 冰鞋锁 o 无缘无故加速和刹车, 无疑会导致事故的行为,影响骑踏板车的人和附近的任何其他人。 为此,必须安装伪装成固件的恶意软件,而踏板车的蓝牙模块不会随时监督这一操作,因此攻击者可以完全自由地安装他想要的任何东西。 在下面由 Zimperium 发布的视频中,您可以看到安全小组为此场合创建的应用程序如何能够从远处阻挡电动滑板车。
据报道, 小米 几个星期以来,我们一直都知道这个问题,他们目前正在研究将以系统更新的形式出现的修复程序。 然而,一切都表明这项任务并不容易,因为 模数蓝牙 受到影响的取决于第三方制造商,因此他们将不得不共同努力推出某种联合解决方案。 目前,这是关于它的所有已知信息,因此在可能出现鼓励此类不当行为的恶意应用程序之前,我们必须小心。
[相关通知空白标题=»这些是您可以在亚马逊上购买的 5 款电动滑板车»]https://eloutput.com/input/guide-compras/patinetes-electricos-amazon/[/RelatedNotice]
如何避免你的小米滑板车被黑客攻击?
不幸的是,该错误会影响系统级别,因此无法阻止他们远程连接到踏板车。 通过官方应用程序设置复杂的密码是没有用的,因为正如我们之前评论的那样, 系统不需要任何类型的身份验证 进行直接连接时。 目前唯一的解决办法是等待制造商发布带有安全补丁的更新,所以在此期间你必须小心。
更新:我们用小米官方声明更新了这篇文章。
小米知道有恶意的黑客可以利用该漏洞来破坏小米电动滑板车的运行。 我们一发现这个漏洞,就一直在努力修复它并删除所有未经授权的应用程序。 同时,小米的产品和安全团队正在准备尽快推出的 OTA 更新。 小米重视用户和安全社区的反馈。 我们致力于根据所有反馈不断改进,以打造更好、更安全的产品。
2更新:因为 用户社区 混音网 通知 蓝牙连接安全问题是一年多以来的公开秘密。 这个漏洞被用来安装自制固件,可以增加滑板的力量,所以这个发现可能看起来并不那么新鲜。 然而,Zimperium 的研究表明了问题的严重性,并有助于了解人们可以通过这种访问走多远。
此外,该用户评论了一个巧妙的解决方案,该解决方案将用于阻止远程访问我们的溜冰鞋,因为将溜冰鞋与设备连接就足以使连接始终被阻止(第二个设备不能建立连接),也可以更改设备的名称,使其伪装成具有开放蓝牙连接的电话,这会误导可能的攻击者。
[感谢 M4p3x 的提示]