Хакери могат да ускорят е-скутера на Xiaomi вместо вас
Породен минус на известния електрически скутер бе прибавен към листата с опасения за сигурността към устройствата, наводнили няколко американски града през миналата година.
У Xiaomi M365 – електрически скутер, употребен от някои компании за наем на скутери – бе открит бъг, допускащ на хакер да поеме отдалечен надзор върху транспортното средство, в това число да го накара да спре ненадейно или да усили скоростта му. Информацията идва от групата за изследване на сигурността. Zimperium. От там сочат като причина за бъга процеса за идентификация на паролата на скутера, който се реализира посредством Bluetooth връзка.
„ По време на нашето изследване установихме, че паролата не се употребява вярно като част от процеса на засвидетелствуване и че всички команди могат да се извършват без нея “, се споделя в изказване на Zimperium. „ Паролата се удостоверява единствено в приложението, само че самият скутер не следи за статуса на засвидетелствуване “.
Изследователите настояват, че са съумели да заобиколят отбраната против кражба и да включат режима за автоматизирано поддържане на скорост, както и да актуализират фърмуера, без нужната идентификация.
Zimperium разгласява доказателство под формата на видео, което демонстрира по какъв начин приложението им сканира за скутери на Xiaomi наоколо и изключва функционалността им за отбрана против кражба. Компанията към този момент откри сходен експлойт в Segway през 2017 година посредством Bluetooth връзка.
Zimperium към този момент е уведомила Xiaomi за казуса.
У Xiaomi M365 – електрически скутер, употребен от някои компании за наем на скутери – бе открит бъг, допускащ на хакер да поеме отдалечен надзор върху транспортното средство, в това число да го накара да спре ненадейно или да усили скоростта му. Информацията идва от групата за изследване на сигурността. Zimperium. От там сочат като причина за бъга процеса за идентификация на паролата на скутера, който се реализира посредством Bluetooth връзка.
„ По време на нашето изследване установихме, че паролата не се употребява вярно като част от процеса на засвидетелствуване и че всички команди могат да се извършват без нея “, се споделя в изказване на Zimperium. „ Паролата се удостоверява единствено в приложението, само че самият скутер не следи за статуса на засвидетелствуване “.
Изследователите настояват, че са съумели да заобиколят отбраната против кражба и да включат режима за автоматизирано поддържане на скорост, както и да актуализират фърмуера, без нужната идентификация.
Zimperium разгласява доказателство под формата на видео, което демонстрира по какъв начин приложението им сканира за скутери на Xiaomi наоколо и изключва функционалността им за отбрана против кражба. Компанията към този момент откри сходен експлойт в Segway през 2017 година посредством Bluetooth връзка.
Zimperium към този момент е уведомила Xiaomi за казуса.
Източник: kaldata.com
КОМЕНТАРИ