Użytkownicy hulajnogi Xiaomi MiJia M365 zagrożeni. Cracker może spowodować wypadek
Xiaomi MiJia M365 to jeden z najpopularniejszych modeli pośród hulajnóg elektrycznych, często spotykany także w Polsce. Badacze bezpieczeństwa z zespołu Zimperium donoszą, że wszyscy użytkownicy tego pojazdu są w poważnym niebezpieczeństwie.
Prowadząc badania nad zabezpieczeniami, ustalono, że weryfikacja hasła do Xiaomi MiJia M365 odbywa się tylko na poziomie oficjalnej aplikacji sterującej. Sam pojazd nie sprawdza w żaden sposób otrzymywanych poleceń. Tak więc kiedy napastnik stworzy własne narzędzie, niewymagające uwierzytelniania, może do woli sterować każdą hulajnogą Xiaomi w pobliżu.
Faktyczny zasięg Bluetooth wynosi podobno około 100 metrów, a dobrze przygotowany cracker zrobi z M365 dosłownie wszystko: zablokuje przez funkcję antykradzieżową, przejmie kontrolę nad przepustnicą i hamulcem, a nawet podmieni oprogramowanie układowe na dowolne.
Aby nie być gołosłownym, badacze opublikowali dowód w postaci wideo, na którym widać, jak atakujący bawi się hulajnogą Xiaomi MiJia M365 jednego z przechodniów.
Xiaomi Scooter Hack
Może dojść do poważnych wypadków
Oczywiście eksperci tylko inscenizują pewne scenariusze, takie jak zablokowanie pojazdu ofiary na przejściu dla pieszych, i zachowują przy tym zdrowy rozsądek. Nie sposób jednak przeoczyć, że w rękach crackera-szkodnika odkryty exploit może być bardzo niebezpieczny, gdy ten postanowi na przykład skierować czyjąś hulajnogę wprost pod koła nadjeżdżających samochodów.
Co więcej, w takim wypadku zagrożony jest interes wielu firm wynajmujących tego rodzaju pojazdy. Okazuje się bowiem, że ich sprzęt daje się w bardzo prosty sposób ukraść.
Pozytywnie nie nastraja zarazem reakcja Xiaomi na problem. Specjaliści, jak twierdzą, zawczasu powiadomili producenta o luce, jednak łatki po dziś dzień nie wydano. Jeden z przedstawicieli firmy wyjaśnił, że hulajnoga MiJia M365 to produkt stworzony we współpracy z innym przedsiębiorstwem i do usunięcia zagrożenia wymagana jest interwencja ze strony podmiotu trzeciego.
Czarny tydzień hulajnóg elektrycznych
Na marginesie warto zauważyć, że w ostatnich dniach hulajnogom elektrycznym ogólnie nie wiedzie się najlepiej. W środę 6 lutego w jednym z bloków przy ul. Gorczyczewskiego w Poznaniu doszło do eksplozji wywołanej przez akumulator właśnie hulajnogi elektrycznej.
Już wtedy rozgorzała debata na temat bezpieczeństwa elektrycznych jednośladów. Teraz dowiadujemy się, że nawet prawidłowo działająca pod względem technicznym e-hulajnoga może stanowić zagrożenie dla użytkownika, jeśli tylko jakiś programista zechce zrobić psikusa. Wszystkie te doniesienia, delikatnie mówiąc, nie stawiają hulajnóg elektrycznych w najlepszym świetle.
Aktualizacja 13.02.2019, 16:30: Skontaktował się z nami przedstawiciel Xiaomi. Firma obiecuje podjąć kroki mające na celu wyeliminowanie opisywanej luki bezpieczeństwa.
„Xiaomi zdaje sobie sprawę, że hakerzy mogą z premedytacją wykorzystywać przeoczenie firmy w celu przejęcia kontroli nad elektrycznymi hulajnogami. Marka rozpoczęła już pracę nad usunięciem wszelkich nieautoryzowanych aplikacji, a zespół ds. bezpieczeństwa pracuje nad aktualizacją mechanizmu OTA (over-the-air), która już wkrótce będzie dostępna dla użytkowników. Producent ceni opinie swoich klientów i nieustannie dąży do doskonalenia produktów zarówno pod względem ich jakości, jak i bezpieczeństwa” – czytamy w nadesłanej wiadomości.