Użytkownicy hulajnogi Xiaomi MiJia M365 zagrożeni. Cracker może spowodować wypadek

Prowadząc badania nad zabezpieczeniami, ustalono, że weryfikacja hasła do Xiaomi MiJia M365 odbywa się tylko na poziomie oficjalnej aplikacji sterującej. Sam pojazd nie sprawdza w żaden sposób otrzymywanych poleceń. Tak więc kiedy napastnik stworzy własne narzędzie, niewymagające uwierzytelniania, może do woli sterować każdą hulajnogą Xiaomi w pobliżu.

Faktyczny zasięg Bluetooth wynosi podobno około 100 metrów, a dobrze przygotowany cracker zrobi z M365 dosłownie wszystko: zablokuje przez funkcję antykradzieżową, przejmie kontrolę nad przepustnicą i hamulcem, a nawet podmieni oprogramowanie układowe na dowolne.

Aby nie być gołosłownym, badacze opublikowali dowód w postaci wideo, na którym widać, jak atakujący bawi się hulajnogą Xiaomi MiJia M365 jednego z przechodniów.

Oczywiście eksperci tylko inscenizują pewne scenariusze, takie jak zablokowanie pojazdu ofiary na przejściu dla pieszych, i zachowują przy tym zdrowy rozsądek. Nie sposób jednak przeoczyć, że w rękach crackera-szkodnika odkryty exploit może być bardzo niebezpieczny, gdy ten postanowi na przykład skierować czyjąś hulajnogę wprost pod koła nadjeżdżających samochodów.

Co więcej, w takim wypadku zagrożony jest interes wielu firm wynajmujących tego rodzaju pojazdy. Okazuje się bowiem, że ich sprzęt daje się w bardzo prosty sposób ukraść.

Pozytywnie nie nastraja zarazem reakcja Xiaomi na problem. Specjaliści, jak twierdzą, zawczasu powiadomili producenta o luce, jednak łatki po dziś dzień nie wydano. Jeden z przedstawicieli firmy wyjaśnił, że hulajnoga MiJia M365 to produkt stworzony we współpracy z innym przedsiębiorstwem i do usunięcia zagrożenia wymagana jest interwencja ze strony podmiotu trzeciego.

Na marginesie warto zauważyć, że w ostatnich dniach hulajnogom elektrycznym ogólnie nie wiedzie się najlepiej. W środę 6 lutego w jednym z bloków przy ul. Gorczyczewskiego w Poznaniu doszło do eksplozji wywołanej przez akumulator właśnie hulajnogi elektrycznej.

Już wtedy rozgorzała debata na temat bezpieczeństwa elektrycznych jednośladów. Teraz dowiadujemy się, że nawet prawidłowo działająca pod względem technicznym e-hulajnoga może stanowić zagrożenie dla użytkownika, jeśli tylko jakiś programista zechce zrobić psikusa. Wszystkie te doniesienia, delikatnie mówiąc, nie stawiają hulajnóg elektrycznych w najlepszym świetle.

Aktualizacja 13.02.2019, 16:30: Skontaktował się z nami przedstawiciel Xiaomi. Firma obiecuje podjąć kroki mające na celu wyeliminowanie opisywanej luki bezpieczeństwa.

„Xiaomi zdaje sobie sprawę, że hakerzy mogą z premedytacją wykorzystywać przeoczenie firmy w celu przejęcia kontroli nad elektrycznymi hulajnogami. Marka rozpoczęła już pracę nad usunięciem wszelkich nieautoryzowanych aplikacji, a zespół ds. bezpieczeństwa pracuje nad aktualizacją mechanizmu OTA (over-the-air), która już wkrótce będzie dostępna dla użytkowników. Producent ceni opinie swoich klientów i nieustannie dąży do doskonalenia produktów zarówno pod względem ich jakości, jak i bezpieczeństwa” – czytamy w nadesłanej wiadomości.