Hulajnogi Xiaomi podatne na hakowanie

Fot. www.cnet.com
Dostępne w wypożyczalniach hulajnogi elektryczne podbiły zeszłej jesieni ulice m.in. Warszawy i Wrocławia. Wcześniej podobne pojazdy na wynajem opanowały kilka miast w Stanach Zjednoczonych. Jednak nawet tak prosty pojazd może paść ofiarą ataku hakerskiego.

Okazuje się, że model M365 Xiaomi dostępny w wypożyczalniach w USA ma pewną wadę. Może zostać przejęty przez hakerów. W celu najmu pojazdu należy połączyć się z nim za pośrednictwem Bluetooth.

– Dostęp Bluetooth umożliwia użytkownikowi interakcję z hulajnogami w celu obsługi wielu funkcji, takich jak system antykradzieżowy, tempomat, tryb ekologiczny i aktualizacja oprogramowania hulajnogi. Aby uzyskać dostęp do tych funkcji, użytkownik może korzystać z dedykowanej aplikacji, a każda hulajnoga jest chroniona hasłem, które może zmienić użytkownik – opisano na oficjalnej stronie zespołu badawczego Zimperium.

Reklama

Zgodnie z informacją opublikowaną we wtorek przez grupę badawczą ds. bezpieczeństwa Zimperium, pojazdy zawierają pewną usterkę. Umożliwia ona hakerowi przejęcie kontroli nad hulajnogą. Co za tym idzie, kierujący może stracić panowanie nad wypożyczonym pojazdem. Haker z kolei może dowolnie przyspieszać lub hamować bez fizycznej ingerencji w sprzęt. Wszystko z winy trefnego systemu uwierzytelniania hasła, tłumaczy zespół badawczy: – Podczas naszych badań ustaliliśmy, że hasło nie jest właściwie używane jako część procesu uwierzytelniania z hulajnogą i że wszystkie polecenia mogą być wykonywane bez hasła. Jest ono sprawdzane tylko po stronie aplikacji, ale sama hulajnoga nie śledzi stanu uwierzytelnienia.

Badacze udowodnili, że za pomocą smartfonu są w stanie wejść w interakcję ze sprzętem, którym aktualnie ktoś się porusza. Sposób przejmowania kontroli przypomina ten znany z serii gier „Watch_Dogs”, co widać na nagraniu opublikowanym pod oświadczeniem badaczy. Pokazuje ono w jaki sposób dochodzi do ingerencji i przejęcia kontroli nad pojazdem. Oczywiście należy zaznaczyć, że Zimperium poinformowało Xiaomi o swoim odkryciu. Firma doczekała się także odpowiedzi.

Odpowiedź Xiaomi (fot. blog.zimperium.com)

Niestety użytkownicy nie mogą zapobiec przejęciu kontroli nad wypożyczonym sprzętem. Muszą cierpliwie poczekać, aż Xiaomi podejmie właściwe działania w celu naprawy tego błędu. | CHIP

0
Zamknij

Choć staramy się je ograniczać, wykorzystujemy mechanizmy takie jak ciasteczka, które pozwalają naszym partnerom na śledzenie Twojego zachowania w sieci. Dowiedz się więcej.