最有名 小米的 Mi 電動滑板車 M365 es 最受歡迎的電動滑板車之一 的那一刻。 其出色的結構和價格使該產品在世界範圍內暢銷,並且像這些成功的產品一樣,它們也成為人們關注的焦點 黑客關注.
小米M365存在安全漏洞,可實現遠程控制
安全組 Zimperium 發表了一份報告,其中他們證明 小米的滑板車 存在允許您遠程控制設備的漏洞,並且 運行命令 無需任何憑據。 據他們所說,只有在官方應用程序中才需要用戶註冊過程,但是在與設備直接連接時,不需要任何類型的身份驗證,因此可以自由執行命令。
我們的研究人員能夠侵入其中一款領先的電動滑板車——小米 M365——並有效地鎖定、制動和/或加速任何經過的騎手的滑板車。 從概念驗證中閱讀有關發現的更多信息: https://t.co/w5kKAerEXJ pic.twitter.com/kcNSFuifDE
— 津佩里亞 (@ZIMPERIUM) 12月2019
一旦連接到計算機,攻擊者就可以獲取 遙控器 從踏板車最遠約 100 米的距離執行命令,例如 冰鞋鎖 o 無緣無故加速和剎車, 無疑會導致事故的行為,影響騎踏板車的人和附近的任何其他人。 為此,必須安裝偽裝成固件的惡意軟件,而踏板車的藍牙模塊不會隨時監督這一操作,因此攻擊者可以完全自由地安裝他想要的任何東西。 在下面由 Zimperium 發布的視頻中,您可以看到安全小組為此場合創建的應用程序如何能夠從遠處阻擋電動滑板車。
據報導, 小蜜 幾個星期以來,我們一直都知道這個問題,他們目前正在研究將以系統更新的形式出現的修復程序。 然而,一切都表明這項任務並不容易,因為 藍牙模塊 受到影響的取決於第三方製造商,因此他們將不得不共同努力推出某種聯合解決方案。 目前,這是關於它的所有已知信息,因此在可能出現鼓勵此類不當行為的惡意應用程序之前,我們必須小心。
[相關通知空白標題=»這些是您可以在亞馬遜上購買的 5 款電動滑板車»]https://eloutput.com/input/guide-compras/patinetes-electricos-amazon/[/RelatedNotice]
如何避免你的小米滑板車被黑客攻擊?
不幸的是,該錯誤會影響系統級別,因此無法阻止他們遠程連接到踏板車。 通過官方應用程序設置複雜的密碼是沒有用的,因為正如我們之前評論的那樣, 系統不需要任何類型的身份驗證 進行直接連接時。 目前唯一的解決辦法是等待製造商發布帶有安全補丁的更新,所以在此期間你必須小心。
更新:我們用小米官方聲明更新了這篇文章。
小米知道有惡意的黑客可以利用該漏洞來破壞小米電動滑板車的運行。 我們一發現這個漏洞,就一直在努力修復它並刪除所有未經授權的應用程序。 同時,小米的產品和安全團隊正在準備盡快推出的 OTA 更新。 小米重視用戶和安全社區的反饋。 我們致力於根據所有反饋不斷改進,以打造更好、更安全的產品。
2更新: 從 用戶社區 mixx.io 他們報告 藍牙連接安全問題是一年多以來的公開秘密。 這個漏洞被用來安裝自製固件,可以增加滑板的力量,所以這個發現可能看起來並不那麼新鮮。 然而,Zimperium 的研究表明了問題的嚴重性,並有助於了解人們可以通過這種訪問走多遠。
此外,該用戶評論了一個巧妙的解決方案,該解決方案將用於阻止遠程訪問我們的溜冰鞋,因為將溜冰鞋與設備連接就足以使連接始終被阻止(第二個設備不能建立連接),也可以更改設備的名稱,使其偽裝成具有開放藍牙連接的電話,這會誤導可能的攻擊者。
[感謝 M4p3x 的提示]