Elektryczne hulajnogi Xiaomi okazały się niebezpieczne

0
585


Zdjęcia Toby Melville / REUTERS

Specjaliści w dziedzinie cyberbezpieczeństwa z firmy Zimperium odkrył błąd w kodzie popularnego modelu skutera Xiaomi M365. Z powodu niej hakerzy mogli ostro podkręcać lub hamować hulajnogi bez wiedzy ich właściciela

Elektryczne hulajnogi chwytają miasta, ale okazało się, że nie są tak niezawodne. W kodzie popularnego modelu skutera Xiaomi M365 wykryto błąd, który powodował, że atakujący mogli ostro podkręcać lub hamować hulajnogi bez wiedzy ich właściciela, pisze Wired. Jest to dość niebezpieczne, biorąc pod uwagę, że urządzenia te mogą rozwijać prędkość do 40-50 km/h.

Błąd odkryli specjaliści z firmy Zimperium, specjalizującej się w cyberbezpieczeństwa.

Dyrektor ds. rozwoju oprogramowania Zimperium Rani Идан mówi, że takie skutery zawierają trzy programowych komponentu: zarządzanie baterią, wbudowane oprogramowanie i moduł Bluetooth, który pozwala użytkownikom komunikować się ze swoim skuterem za pośrednictwem aplikacji na smartfona. To właśnie ten moduł i sprawia, że urządzenia są bardzo wrażliwe.

Идан odkrył, że może on połączyć się z самокату przez Bluetooth bez konieczności podawania hasła lub innych form uwierzytelniania. Czy to przez hakera, ten błąd dał mu możliwość, aby zainstalować oprogramowanie na skuterze, nie dając żadnej weryfikacji, że nowe oprogramowanie jest oficjalną aktualizacją Xiaomi. Идану udało się umieścić złośliwe oprogramowanie na skuterze, uzyskując pełną kontrolę nad systemem zarządzania самокатом. Jednak gdy Zimperium skontaktowała się z Xiaomi, aby poinformować o błędach, producent электросамокатов odpowiedział, że wie o problemie, ale nie może samodzielnie rozwiązać.

W Zimperium sugerują, że jest to związane z tym, że Xiaomi wykorzystuje w самокатах moduły realizacji Bluetooth innej firmy, a nie programuje je samodzielnie.

Badacz Zimperium zaznaczył, że problemy z Bluetooth dość powszechne w urządzeniach internetu rzeczy. Jego zespół napotkał podobne problemy w chińskich ховербордах Segway MiniPro w 2017 roku.

Problem nie w skuterze jako takiego (podobna luka w zabezpieczeniach może być, na przykład, w samochodzie), a w powszechnie stosowanej technologii Bluetooth, jakość wykonania, która przy tym jest bardzo niska, uważa dyrektor techniczny Qrator Labs Dominik Гавриченков. “Implementacja protokołu Bluetooth, nawet w telefonach ma masę problemów. Co tu mówić o innych podłączonych urządzeń internetu rzeczy — bransoletkach, zegarkach, maszyn do kawy, самокатах, lodówkach. To właśnie w tej klasie urządzeń można spodziewać się naprawdę poważnych problemów z bezpieczeństwem — mówi. — Bezprzewodowa technologia Bluetooth służy do komunikacji urządzeń cyfrowych, na przykład: podłączenie słuchawek do telefonu, telefonu do komputera lub, jak w tym przypadku, telefonu do самокату. W ciągu ostatnich kilku lat w protokole Bluetooth i jego realizacjach stwierdzono szereg poważnych “dziur”, na przykład, w Bluetooth sterownik na Android-telefony”.

Przedstawiciel firmy Xiaomi dał redakcji “Forbes”, następujący komentarz: “Xiaomi wiadomo o luce w zabezpieczeniach hulajnoga Mi Electric Scooter, którą hakerzy celowo mogą używać do zarządzania cudzym самокатом. Jak tylko firma dowiedziała się o problemie, rozpoczęła się praca nad jego rozwiązaniem, a także usunięcie wszystkich nieoryginalnych aplikacji. W tej chwili służby bezpieczeństwa i grupa twórców oprogramowania prowadzą pracę nad aktualizacją, która użytkownicy będą mogli uzyskać w powietrzu w najbliższym czasie. Xiaomi ceni opinię z społecznością bezpieczeństwa i stara się ciągle doskonalić pracę na podstawie opinii, aby tworzyć produkty bezpieczne i stale ulepszać ich jakość”.

W 2017 roku globalny rynek электросамокатов ocenili w $630 mln W tym czasie wyniósł on 8% od całego rynku dwukołowy elektrycznych, bez względu электробайков. Ale według prognoz Grand View Research, udział электросамокатов do 2024 r. wzrośnie do 14,5%.

W Moskwie электросамокаты stały się bardzo popularne w zeszłym roku, jednak Xiaomi oficjalne statystyki sprzedaży w Rosji nie ujawnia.

redakcja poleca
Nowy chiński cud: że Xiaomi mogą ocenić w $100 mld