Без тормозов. В скутерах Xiaomi нашли уязвимость, которая позволяет отключать тормоза

14 февраля 2019, 12:59

Электрический самокат Xiaomi M365 имеет уязвимость, которая позволяет хакерам получить полный дистанционный контроль над транспортным средством, в том числе над тормозами.

Представители Xiaomi подтвердили наличие проблемы, но пока не исправили ее, сообщается в блоге экспертов по безопасности мобильных устройств Zimperium

Самокаты Xiaomi M365 оснащены Bluetooth-модулями, с помощью которых пользователи могут подключиться к ним и управлять через приложение. 

Видео дня

Доступ по Bluetooth позволяет пользователю взаимодействовать со скутером для таких функций, как противоугонная система, круиз-контроль, эко-режим и обновление прошивки скутера. Для доступа к этим функциям пользователь может использовать специальное приложение, и каждый скутер защищен паролем, который может быть изменен пользователем.

Эксперты определили, что пароль не используется должным образом как часть процесса аутентификации на скутере, и что все команды могут выполняться без пароля. Пароль проверяется только на стороне приложения, но сам скутер не отслеживает состояние аутентификации.

Поэтому хакеры могут использовать все эти функции без необходимости аутентификации.

"Используя то, что мы узнали из командного канала скутера, можно использовать следующие сценарии атаки: заблокировать любой скутер M365, установить новую вредоносную прошивку, которая может получить полный контроль над скутером, заставить самокат внезапно затормозить или ускориться", - отмечают эксперты.

Компания Xiaomi оперативно отреагировала на обнаружение уязвимости, но признала, что владельцы скутеров сами не смогут решить проблему.

"К сожалению, программы безопасности скутера все еще должны быть обновлены ​​Xiaomi (или любыми третьими лицами, с которыми они работают). Проблема не может быть легко исправлена ​​пользователем", - заявили в техподдержке компании.

Присоединяйтесь к нам в соцсетях Facebook, Telegram и Instagram.

Показать ещё новости
Радіо НВ
X