Источник:
Электросамокат Xiaomi M365 оказался опасным для владельцев из-за бреши в софте.
Самокат с Bluetooth-управлением можно удаленно заблокировать или ускорить на ходу. Злоумышленники способны перехватить управление с расстояния до 100 м, сообщили эксперты по безопасности мобильных устройств Zimperium.
Свободный доступ
ПО использует пароль для защиты самоката, но он контролируется только в приложении, само транспортное средство не проверяет аутентификацию. Это позволило использовать всю функциональность Bluetooth-управления устройства без знания учетной записи и пароля.
Специалисты создали приложение для сканирования сигнала самокатов и отправки команд. В видео демонстрируется полевое испытание ПО и пример, как внезапная остановка может оказаться угрозой жизни и здоровью:
Реальные возможности
Фирменное приложение даёт пользователям запускать систему антивора, круиз-контроль, экорежим и обновлять прошивку. Все эти возможности доступны и злоумышленникам. Особо опасна последняя опция — на скутер можно залить собственное ПО с любой функциональностью.
Приложение для блокировки скутеров доступно на GitHub. Zimperium также создала ПО для неконтролируемого ускорения Xiaomi M365, но решила не публиковать его в целых безопасности.
Xiaomi в курсе о бреши и готовит исправление. Пользователи на данном этапе никак не могут защититься самостоятельно, только ждать обновления прошивки.
Электросамокат Xiaomi M365 продаётся во многих странах, в Украине в том числе. Транспорт также известен как MiJia Electric Scooter или Mi Electric Scooter M365.