Подписка

Уязвимость в электронных самокатах от Xiaomi позволяет удалённо перехватить контроль

13/02/19

cause walking is so basicОсобую осторожность следует соблюдать владельцам электронных самокатов от Xiaomi, предупреждают специалисты компании Zimperium. По словам исследователей, модель M365 Folding Electric Scooter содержит простую в эксплуатации опасную уязвимость, которая может представлять потенциальную угрозу жизни владельца самоката.

Xiaomi M365 Electric Scooter поставляется с сопутствующим мобильным приложением. С его помощью владелец может удаленно управлять своим самокатом через защищенное паролем Bluetooth-подключение. В частности через приложение пользователь может менять пароль, включать противоугонную систему, климат-контроль и эко-режим, обновлять прошивку самоката и просматривать статистику поездок в режиме реального времени.

Исследователи обнаружили, что самокат не проверяет подлинность пароля должным образом. Благодаря этому злоумышленник может отправлять ему по Bluetooth неаутентифицированные команды на расстоянии до ста метров.

«В ходе исследования мы обнаружили, что пароль не используется должным образом как часть процесса аутентификации пользователя самоката, и все команды могут выполняться без пароля. Подлинность пароля проверяется только на стороне приложения, но сам самокат не отслеживает состояние аутентификации», - сообщается в отчете Zimperium.

С помощью уязвимости злоумышленник может удаленно вызвать отказ в обслуживании и заблокировать самокат, внедрить вредоносное ПО путем обновления прошивки и получить над ним полный контроль, а также неожиданно для пользователя тормозить или менять скорость самоката во время поездки.

Исследователи сообщили Xiaomi об уязвимости две недели назад. По словам производителя, в настоящее время идет работа над обновлением.

Подробнее: https://www.securitylab.ru/news/497914.php

Темы:ОтрасльXiomiНовости