Użytkownicy hulajnogi Xiaomi MiJia M365 zagrożeni. Cracker może spowodować wypadek

Xiaomi MiJia M365 to jeden z najpopularniejszych modeli pośród hulajnóg elektrycznych, często spotykany także w Polsce. Badacze bezpieczeństwa z zespołu Zimperium donoszą, że wszyscy użytkownicy tego pojazdu są w poważnym niebezpieczeństwie.

Źródło: Materiały prasowe Uber
Źródło: Materiały prasowe Uber
Piotr Urbaniak

13.02.2019 | aktual.: 13.02.2019 16:32

Zalogowani mogą więcej

Możesz zapisać ten artykuł na później. Znajdziesz go potem na swoim koncie użytkownika

Prowadząc badania nad zabezpieczeniami, ustalono, że weryfikacja hasła do Xiaomi MiJia M365 odbywa się tylko na poziomie oficjalnej aplikacji sterującej. Sam pojazd nie sprawdza w żaden sposób otrzymywanych poleceń. Tak więc kiedy napastnik stworzy własne narzędzie, niewymagające uwierzytelniania, może do woli sterować każdą hulajnogą Xiaomi w pobliżu.

Faktyczny zasięg Bluetooth wynosi podobno około 100 metrów, a dobrze przygotowany cracker zrobi z M365 dosłownie wszystko: zablokuje przez funkcję antykradzieżową, przejmie kontrolę nad przepustnicą i hamulcem, a nawet podmieni oprogramowanie układowe na dowolne.

Aby nie być gołosłownym, badacze opublikowali dowód w postaci wideo, na którym widać, jak atakujący bawi się hulajnogą Xiaomi MiJia M365 jednego z przechodniów.

Xiaomi Scooter Hack

Może dojść do poważnych wypadków

Oczywiście eksperci tylko inscenizują pewne scenariusze, takie jak zablokowanie pojazdu ofiary na przejściu dla pieszych, i zachowują przy tym zdrowy rozsądek. Nie sposób jednak przeoczyć, że w rękach crackera-szkodnika odkryty exploit może być bardzo niebezpieczny, gdy ten postanowi na przykład skierować czyjąś hulajnogę wprost pod koła nadjeżdżających samochodów.

Co więcej, w takim wypadku zagrożony jest interes wielu firm wynajmujących tego rodzaju pojazdy. Okazuje się bowiem, że ich sprzęt daje się w bardzo prosty sposób ukraść.

Źródło: Zimperium
Źródło: Zimperium

Pozytywnie nie nastraja zarazem reakcja Xiaomi na problem. Specjaliści, jak twierdzą, zawczasu powiadomili producenta o luce, jednak łatki po dziś dzień nie wydano. Jeden z przedstawicieli firmy wyjaśnił, że hulajnoga MiJia M365 to produkt stworzony we współpracy z innym przedsiębiorstwem i do usunięcia zagrożenia wymagana jest interwencja ze strony podmiotu trzeciego.

Czarny tydzień hulajnóg elektrycznych

Na marginesie warto zauważyć, że w ostatnich dniach hulajnogom elektrycznym ogólnie nie wiedzie się najlepiej. W środę 6 lutego w jednym z bloków przy ul. Gorczyczewskiego w Poznaniu doszło do eksplozji wywołanej przez akumulator właśnie hulajnogi elektrycznej.

Już wtedy rozgorzała debata na temat bezpieczeństwa elektrycznych jednośladów. Teraz dowiadujemy się, że nawet prawidłowo działająca pod względem technicznym e-hulajnoga może stanowić zagrożenie dla użytkownika, jeśli tylko jakiś programista zechce zrobić psikusa. Wszystkie te doniesienia, delikatnie mówiąc, nie stawiają hulajnóg elektrycznych w najlepszym świetle.

 

Aktualizacja 13.02.2019, 16:30: Skontaktował się z nami przedstawiciel Xiaomi. Firma obiecuje podjąć kroki mające na celu wyeliminowanie opisywanej luki bezpieczeństwa.

„Xiaomi zdaje sobie sprawę, że hakerzy mogą z premedytacją wykorzystywać przeoczenie firmy w celu przejęcia kontroli nad elektrycznymi hulajnogami. Marka rozpoczęła już pracę nad usunięciem wszelkich nieautoryzowanych aplikacji, a zespół ds. bezpieczeństwa pracuje nad aktualizacją mechanizmu OTA (over-the-air), która już wkrótce będzie dostępna dla użytkowników. Producent ceni opinie swoich klientów i nieustannie dąży do doskonalenia produktów zarówno pod względem ich jakości, jak i bezpieczeństwa” – czytamy w nadesłanej wiadomości.

Programy

Zobacz więcej
Komentarze (68)