Хакери зламали електросамокат Xiaomi: як бути користувачам?

Автор: Bohdan Chub | 14 лютого 2019, 19:16

Фахівці компанії Zimperium, що спеціалізується на мобільній безпеці, виявили уразливість в електричних самокатах Xiaomi Mi Electric Scooter M365. Вона дозволяє підключатися до скутера без введення паролю та перехоплювати керування.

Що сталося?

За словами дослідників, програмне забезпечення електроскутера включає три основних компоненти. Перший керує роботою акумулятора, другий являє собою прошарок між софтом та апаратною частиною, а Bluetooth-модуль відповідає за взаємодію з мобільним додатком. Останній виявився схильний до зламу. Хакер може отримати контроль над протиугонною системою, круїз-контролем та еко-режимом самоката. Підтримується навіть завантаження оновлень зі шкідливим кодом.

Співробітники Zimperium написали додаток, який модифікує прошивку Mi Electric Scooter M365 та відправляє команди на гальмування або прискорення. Якщо у цей час користувач буде знаходитися на проїжджій частині, його життя опиниться під загрозою. Зловмисник може керувати електросамокатом на відстані до 100 метрів.

Дослідники опублікували вихідні коди програми для зламу, щоб уникнути зловживань, прибравши код для раптового розгону. Xiaomi Mi Electric Scooter M365 розроблений китайською Ninebot, яка у 2017 році виправила аналогічну вразливість Bluetooth у гіроскутері Segway MiniPro.

Як захиститися?

Представники Xiaomi повідомили, що вже працюють над вирішенням проблеми і планують випустити оновлення найближчим часом. В якості тимчасового рішення Zimperium рекомендує на час поїздок підтримувати підключення із фірмовим додатком. При активному з'єднанні сторонні не зможуть ані завантажувати шкідливе ПЗ, ані керувати транспортним засобом.

Сьогодні Xiaomi Mi Electric Scooter M365 використовується деякими сервісами прокату електросамокатів, хоча останнім часом їх почали замінювати на більш нові моделі Ninebot-Segway.

Джерела: Zimperium, Wired, TJ