Posiadacze hulajnogi elektrycznej Xiaomi Mijia M365 mają poważny powód do zmartwień. Specjaliści od zabezpieczeń z firmy Zimperium odkryli dziecinnie prosty sposób na ominięcie zabezpieczeń chińskiej hulajnogi. Zwykła aplikacja mobilna pozwala na zdalne zatrzymanie lub przyspieszenie pojazdu. Może to prowadzić do bardzo niebezpiecznych sytuacji.

Internet Rzeczy jest piękną wizją świata, w którym korzystamy z tak zwanych inteligentnych urządzeń. Dzięki temu będziemy mogli zautomatyzować niektóre codzienne czynności oraz zdalnie zarządzać przedmiotami codziennego użytku. Jednak wizja wszechobecnych urządzeń z modułami łączności bezprzewodowej oznacza również świat podatny na zagrożenie ze strony hakerów. Specjaliści od zabezpieczeń już od dłuższego czasu ostrzegają przed wprowadzaniem do sprzedaży słabo zabezpieczonych urządzeń. Dobrym przykładem jest tutaj elektryczna hulajnoga Xiaomi M365, która tak naprawdę nie jest w żaden sposób zabezpieczona.

Wpadka z hulajnogą Mijia M365 jest plamą na honorze Xiaomi

Xiaomi uchodzi na rynku za firmę, która sprzedaje dobrej jakości urządzenia za rozsądną kwotę. Dlatego nikt nie spodziewał się, że popularna chińska hulajnoga może być podatna na tak prosty atak. O co chodzi? Hulajnoga Mijia M365 może być kontrolowana za pomocą dedykowanej aplikacji. Do autoryzacji użytkownika służy hasło, które można zmienić. Problem polega na tym, że zamontowany w hulajnodze moduł Bluetooth w żaden sposób nie sprawdza czy aplikacja poprawnie uwierzytelniła użytkownika. Oznacza to, że komendy wysyłane pomiędzy smartfonem z hulajnogą nie są w żaden sposób autoryzowane. Dlatego specjaliści z firmy Zimperium bez najmniejszych problemów przygotowali aplikację, która potrafi kontrolować każdą hulajnogę Xiaomi M365 w zasięgu 100 metrów.

Zdalny atak pozwala na:

  • zablokowanie hulajnogi,
  • podmianę firmware,
  • nagłe zatrzymanie bądź przyspieszenie używanej przez kogoś hulajnogi.

Xiaomi zostało poinformowane o odkrytym problemie, który jak się okazało, jest im dobrze znany. Dziennikarze redakcji The Verge ustalili również, że firmy specjalizujące się w wypożyczaniu hulajnóg na minuty doskonale zdają sobie sprawę z niebezpieczeństwa. Amerykańska firma Bird korzysta z urządzeń Xiaomi i od ponad roku wie o luce odkrytej przez Zimperium. Jednak amerykanie samodzielnie zabezpieczyli używane hulajnogi. Xiaomi musi jeszcze przygotować odpowiednią aktualizację.

Polskie wypożyczalnie korzystają z hulajnóg firmy Lime, która nigdy nie miała w swojej flocie modelu Xiaomi M365.

Źródło: Zimperium, The Verge

BS
Bernard to redaktor naczelny SpeedTest.pl. Jest analitykiem i pasjonatem gier. Studiował na Politechnice Wrocławskiej informatykę i zarządzanie. Lubi szybkie samochody, podróże do egzotycznych krajów oraz dobre książki z kategorii fantastyka.