Електросамокат Xiaomi M365 виявився небезпечним для власників через недосконалість софта.
Самокат з Bluetooth-керуванням можна віддалено заблокувати або прискорити на ходу. Зловмисники здатні перехопити управління з відстані до 100 м, повідомили експерти з безпеки мобільних пристроїв Zimperium.
Вільний доступ
ПЗ використовує пароль для захисту самоката, але він контролюється тільки в застосунку, сам транспортний засіб не перевіряє аутентифікацію. Це дозволило використовувати всю функціональність Bluetooth-керування пристрою без знання облікового запису і пароля.
Фахівці створили застосунок для сканування сигналу самокатів і відправки команд. У відео демонструється польове випробування ПЗ і приклад, як раптова зупинка може виявитися загрозою життю і здоров’ю:
Реальні можливості
Фірмовий застосунок дає користувачам запускати систему захисту від крадіжки, круїз-контроль, екорежим і оновлювати прошивку. Всі ці можливості доступні і зловмисникам. Особливо небезпечна остання опція — на скутер можна залити власне ПЗ з будь-якою функціональністю.
Застосунок для блокування скутерів є на GitHub. Zimperium також створила ПЗ для неконтрольованого прискорення Xiaomi M365, але вирішила не публікувати його в цілих безпеки.
Xiaomi в курсі про небезпечність і готує виправлення. Користувачі на даному етапі ніяк не можуть захиститися самостійно, тільки чекати оновлення прошивки.
Електросамокат Xiaomi M365 продається в багатьох країнах, в Україні в тому числі. Транспорт відомий як MiJia Electric Scooter або Mi Electric Scooter M365.