Хабрахабр

Электросамокат Xiaomi m365 подвержен взлому с возможностью удаленного управления

Но сейчас это уже практически ни у кого не вызывает удивления. Наверное, если бы лет 10 назад кто-то сказал, что вскоре заряжать нужно будет не только ноутбуки и телефоны, но и самокаты, никто бы не поверил. Зато поклонники такого вида транспорта удивятся другой новости — электросамокат можно удаленно взломать, после чего злоумышленник получает возможность управлять системой.

Киберпреступник без особого труда может перехватить управление и затем ускорять транспортное средство, увеличивать его скорость или выполнять еще какие-нибудь действия.
Обнаружили уязвимость специалисты по информационной безопасности из компании Zimperium. И это не шутка, самокат Xiaomi m365 оказался плохо защищенным от внешнего вмешательства. Как оказалось, у Xiaomi m365 есть три программных компонента. По словам руководителя, его команда взломала систему защиты девайса всего за несколько часов. Первый — это управление электропитанием (батареей), второй — беспроводная связь (Bluetooth), третий — своеобразная «прокладка» между железом и программными модулями.

Как оказалось, подключиться к скутеру можно без отправки пароля или какого-либо иного способа аутентификации. Наиболее уязвимым является модуль связи. То есть злоумышленник может без особого труда установить malware и перехватить управление. После того можно установить стороннее программное обеспечение, причем самокат не проверяет оригинальное это ПО от производителя или нечто иное.

«Злоумышленник может внезапно остановить самокат, ускорить его или направить прямо в толпу людей или скопление автомобилей — это худший сценарий, который только можно себе представить». «У меня получилось управлять всеми функциями самоката без прохождения процедуры аутентификации», — заявил представитель компании, который изучал уязвимость.

Производители умных устройств больше беспокоятся о дизайне и функциональности своих девайсов, чем о защите их от внешних факторов, включая киберпреступников. Проблема с самокатом не нова, и дело даже не в самокатах, а в способах защиты IoT в целом. Теперь стало понятно, что взлому подвержены и транспортные средства. Из-за халатности производителей становится возможным формировать ботнеты из умных устройств, включая камеры, холодильники, скороварки, роутеры.

Здесь также была активна уязвимость, позволявшая злоумышленнику перехватить управление над устройством. Что касается последних, то специалисты по информационной безопасности смогли обнаружить уязвимости в системе защиты Segway MiniPro еще в 2017 году. Дыра тоже была в Bluetooth-модуле, который позволял подключаться без аутентификации, используя определенные методы обхода подтверждения личности. Более того, при желании преступник мог в режиме реального времени отслеживать местоположение транспортного средства. Система обновлений прошивки также была сформирована немного «криво», что давало возможность злоумышленнику установить стороннее ПО, которое открывало еще больше возможностей для воздействия на транспортное средство.

Правда, тогда компания-производитель быстро исправила проблему, поскольку понимала, насколько опасной является такая дыра в защите.

Представители компании сообщили, что знают о проблеме, но не могут ее исправить своими силами. А вот с Xiaomi дело обстоит несколько хуже. Сейчас обе компании стараются найти решение проблемы. Дело в том, что Bluetooth-модуль поставляется сторонним производителем, которого Xiaomi не называет. Тем не менее, все электросамокаты M365 остаются уязвимы к взлому.

Правда, организация зачем-то выложила это приложение, сделав его доступным для всех. Компания Zimperium разработала proof of concept приложение, которое наглядно демонстрирует проблему. С этим мнением согласны далеко не все, ведь электросамокаты М365 расходятся десятками тысяч, следовательно, владельцы таких транспортных средств находятся в опасности. Возможно, в Zimperium считают, что это заставит Xiaomi активнее решать вопрос с уязвимостью.

Похоже на то, что Xiaomi в любом случае придется очень быстро закрывать уязвимость, используя для этого любые средства и методы, применимые в текущей ситуации.

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть