Hulajnoga Xiaomi złamana
Projektanci hulajnogi Xiaomi 365 zapomnieli, że inteligentne rzeczy lepiej inteligentnie zabezpieczyć. Sprzęt ma podatności, dzięki którym można nim zdalnie hamować lub przyspieszać, wysyłając jego kierowcę na najbliższe drzewo.
W aktualizacji na końcu artykułu znajdzicie oficjalny komentarz firmy.
Ach, jak tu nie czekać na nadciągające uroki wiosennej aury! Smog we włosach, delikatny wiaterek pieszczący czule twarz za każdym razem, gdy mija nas ciężarówka, nagłe hamowanie nosem na bruku, gdy młodociane wcielenie szatana - przebrane za dziecko sąsiadów - postanowi zhakować naszą hulajnogę.
Hulajnogi Xiaomi 365 mają poważny problem, który może przyprawić o ból głowy (i złamaną rękę) ich właścicieli.
Hulajnoga Xiaomi jest ładna, zgrabna, lekka i podatna na ataki hakerskie. Rzeczonej hulajnodze przyjrzał się bliżej zespół z Zimperium Labs. To, co zobaczyli, niewiele miało wspólnego z bezpieczeństwem przynajmniej na poziomie softu. Nieustraszeni pogromcy ścieżek rowerowych i chodników mogą nagle wylądować na środku skrzyżowania z zablokowanymi kołami lub jadąc zauważyć, że ich sprzęt sam z siebie przyspiesza.
Swoją hulajnogę właściciel może obsługiwać przez aplikację. Ze sprzętem można się połączyć za pomocą Bluetooth, żeby zaktualizować jego oprogramowanie, wybrać i ustawić tryb ekonomicznej jazdy czy skorzystać z systemu zabezpieczającego nas przed złodziejami. Wszystko to raczej standard i nie byłoby z tym problemu, gdyby nie jedno drobne przeoczenie. Hasło, wprowadzane przez użytkownika, jest wprawdzie sprawdzane, ale tylko po stronie aplikacji mobilnej, po stronie urządzenia już nie. A to już potencjalny problem i to bardzo bolesny problem.
Zespół Zimperium przetestował podatność, tworząc swoją własną aplikację, która skanuje okolicę w promieniu 100 metrów w poszukiwaniu Xiaomi 365. Kiedy natrafi na ofiarę, może przejąć sterowanie nad sprzętem, przyspieszając nagle lub blokując mu kółka.
Dyskomfort i konfuzja to najlepsze, co może wtedy spotkać stojącą na nim osobę. Nagły brak kontroli nad pojazdem może się skończyć dużo bardziej niebezpieczne - wypadkiem z udziałem kierowcy hulajnogi. Atak może być szczególnie niebezpieczny w mieście, czyli w środowisku, w którym najczęściej korzysta się z takiego sprzętu.
Badacze przekazali oczywiście wszystkie informacje firmie. Xiaomi wie o problemie i pracuje nad jego naprawą.
Aktualizacja (14.02):
Xiaomi przesłało nam komentarz w sprawie:
Xiaomi zdaje sobie sprawę, że hakerzy mogą z premedytacją wykorzystywać przeoczenie firmy w celu przejęcia kontroli nad elektrycznymi hulajnogami. Marka rozpoczęła już pracę nad usunięciem wszelkich nieautoryzowanych aplikacji, a zespół ds. bezpieczeństwa pracuje nad aktualizacją mechanizmu OTA (over-the-air), która już wkrótce będzie dostępna dla użytkowników. Producent ceni opinie swoich klientów i nieustannie dąży do doskonalenia produktów zarówno pod względem ich jakości, jak i bezpieczeństwa.