У самокатах Xiaomi Mijia Electric Scooter знайшли уразливість, за допомогою якої хакери можуть отримувати повний дистанційний контроль над транспортним засобом. Про це розповіли фахівці з безпеки компанії Zimperium zLabs.
Самокат Xiaomi містить Bluetooth-модуль, який дозволяє користувачам взаємодіяти зі своїм пристроєм через додаток для смартфона. Тестування показали, що через недопрацьованого процесу авторизації, здійснюваного по Bluetooth, зловмисник може легко розмістити шкідливе ПО на самокаті, повністю контролюючи його.
Ми oпределілі, що пароль Bluetooth-модуля не використовують дoлжним чином як частина процесу ідентифікації на пристрої і що все кoманда можуть випoлняться без пароля. Нам вдалося контролювати будь-які функції самоката і встановити шкідливу прошивку.
Zimperium zLabs зв’язалася з Xiaomi, щоб повідомити про помилку, але виробник самокатів відповів, що знає про проблему і не має можливості самостійно її усунути. Імовірно, що Xiaomi отримує Bluetooth-модуль для виробництва Mijia Electric Scooter від стороннього виробника.
У 2017 році дослідники виявили аналогічні проблеми в ховерборд Segway MiniPro. Однак, компанія, що належить китайському виробникові скутерів Ninebot, вирішила питання з Bluetooth-модулем відразу після його виявлення.
Leave a Comment