Хакеры взломали электросамокат Xiaomi: как быть пользователям?
Специалисты компании Zimperium, специализирующейся на мобильной безопасности, обнаружили уязвимость в электрических самокатах Xiaomi Mi Electric Scooter M365. Она позволяет подключаться к скутеру без ввода пароля и перехватывать управление.
Что произошло?
По словам исследователей, программное обеспечение электроскутера включает три основных компонента. Первый управляет работой аккумулятора, второй представляет собой прослойку между софтом и аппаратной частью, а Bluetooth-модуль отвечает за взаимодействие с мобильным приложением. Последний оказался подвержен взлому. Хакер может получить контроль над противоугонной системой, круиз-контролем и эко-режимом самоката. Поддерживается даже загрузка обновлений с вредоносным кодом.
Сотрудники Zimperium написали приложение, которое модифицирует прошивку Mi Electric Scooter M365 и отправлять команды на торможение или ускорение. Если в это время пользователь будет находиться на проезжей части, его жизнь окажется под угрозой. Злоумышленник может управлять электросамокатом на расстоянии до 100 метров.
Исследователи опубликовали исходники приложения для взлома, во избежание злоупотреблений убрав код для внезапного разгона. Xiaomi Mi Electric Scooter M365 разработан китайской Ninebot, которая в 2017 году исправила аналогичную уязвимость Bluetooth в гироскутере Segway MiniPro.
Как защититься?
Представители Xiaomi сообщили, что уже работают над решением проблемы и планируют выпустить обновление в ближайшее время. В качестве временного решения Zimperium рекомендует на время поездок поддерживать подключение с фирменным приложением. При активном соединении посторонние не смогут ни загружать вредоносное ПО, ни управлять транспортным средством.
Сегодня Xiaomi Mi Electric Scooter M365 используется некоторыми сервисами проката электросамокатов, хотя в последнее время их стали заменять на более новые модели Ninebot-Segway.