Najpoznatiji Mi električni skuter M365 kompanije Xiaomi es jedan od najpopularnijih električnih skutera trenutka. Njegova odlična konstrukcija i cijena čine proizvod svjetskim bestselerom, a kao što je uobičajeno kod ovih uspješnih proizvoda, oni postaju i fokus pažnja hakera.
Sigurnosna mana Xiaomi M365 omogućava njegovo daljinsko upravljanje
sigurnosna grupa simperium objavila je izvještaj u kojem to pokazuju Xiaomi-jev skuter pati od ranjivosti koja vam omogućava da preuzmete daljinsku kontrolu nad uređajem i pokrenuti komande bez ikakvih akreditiva potrebnih za to. Kako kažu, proces registracije korisnika je neophodan samo u službenoj aplikaciji, međutim, u direktnoj vezi sa uređajem nije potrebna nikakva vrsta autentifikacije, pa se naredbe mogu izvršavati slobodno.
Naši istraživači su uspjeli hakirati jedan od vodećih električnih skutera – Xiaomi M365 – i efikasno zaključati, kočiti i/ili ubrzati skutere svih vozača u prolazu. Pročitajte više o otkriću iz proof-of koncepta: https://t.co/w5kKAerEXJ pic.twitter.com/kcNSFuifDE
— ZIMPERIUM (@ZIMPERIUM) 12 Februar 2019
Kada se jednom poveže sa računarom, napadač je mogao da preuzme daljinsko upravljanje od skutera na maksimalnoj udaljenosti od približno 100 metara za izvršavanje komandi kao npr skate lock o ubrzavanje i kočenje bez ikakvog razloga, radnje koje bi nesumnjivo mogle uzrokovati nesreću, utječući i na osobu koja vozi skuter i na bilo koga drugog u blizini. Da bi se to postiglo, morao bi biti instaliran zlonamjerni softver prerušen u firmware, operacija koju Bluetooth modul skutera ne nadzire ni u jednom trenutku, tako da bi napadač imao potpunu slobodu da instalira šta god želi. U videu ispod, koji je objavio Zimperium, možete vidjeti kako aplikacija koju je za tu priliku kreirala sigurnosna grupa može blokirati električni skuter iz daljine.
Kako je objavljeno, Xiaomi je svjestan ovog problema već sedmicama i trenutno rade na popravci koja će doći u obliku ažuriranja sistema. Međutim, sve ukazuje da zadatak neće biti lak, budući da je bluetooth modul koji je pogođen zavisi od proizvođača treće strane, tako da će morati da rade zajedno kako bi pokrenuli neku vrstu zajedničkog rešenja. Za sada su ovo sve informacije koje se o tome zna, pa ćemo morati biti oprezni prije moguće pojave zlonamjernih aplikacija koje podstiču ovakvu vrstu nedjela.
[RelatedNotice blank title=»Ovo je 5 električnih skutera koje možete kupiti na Amazonu»]https://eloutput.com/input/guide-compras/patinetes-electricos-amazon/[/RelatedNotice]
Kako izbjeći hakiranje vašeg Xiaomi skutera?
Nažalost, greška utiče na nivo sistema, tako da ne postoji način da ih sprečite da se daljinski povežu sa skuterom. Beskorisno je uspostavljanje složene lozinke putem službene aplikacije, jer kao što smo ranije komentarisali, sistem ne zahtijeva nikakvu vrstu autentifikacije prilikom direktnog povezivanja. Jedino rješenje za sada je čekati da proizvođač objavi ažuriranje sa sigurnosnom zakrpom, tako da ćete u međuvremenu morati biti oprezni.
Ažuriraj: Ažuriramo članak službenim izjavama Xiaomi o kućištu.
Xiaomi je svjestan ranjivosti koju hakeri sa zlonamjernom namjerom mogu iskoristiti da poremete rad Mi električnog skutera. Čim smo saznali za ovu ranjivost, radili smo na njenom otklanjanju i uklanjanju svih neovlaštenih aplikacija. U međuvremenu, Xiaomijev proizvodni i sigurnosni timovi pripremaju OTA ažuriranje koje će biti dostupno što je prije moguće. Xiaomi cijeni povratne informacije naših korisnika i sigurnosne zajednice. Posvećeni smo stalnom poboljšanju na osnovu svih povratnih informacija kako bismo stvorili bolje i sigurnije proizvode.
Ažuriranje 2: Od zajednica korisnika mixx.io izvještavaju da je problem sigurnosti Bluetooth veze bio javna tajna više od godinu dana. Ova mana je korištena za instaliranje domaćih firmvera koji su omogućili povećanje snage skejta, tako da otkriće možda ne izgleda tako novo. Međutim, Zimperiumove studije su pokazale ozbiljnost problema i poslužile su da se shvati koliko daleko se može ići sa takvim pristupom.
Osim toga, ovaj korisnik je komentirao genijalno rješenje kojim bi se blokirao daljinski pristup našem skejtu, jer bi bilo dovoljno povezati skejt sa uređajem kako bi veza u svakom trenutku bila blokirana (drugi uređaj ne bi mogao uspostavite vezu), također je moguće promijeniti naziv uređaja tako da se pretvara da je telefon sa otvorenom Bluetooth vezom, što bi moglo dovesti u zabludu mogućeg napadača.
[Hvala M4p3x na savjetu]