Bezpečnost | IoT

Populární elektrokoloběžku Xiaomi lze hacknout. Na dálku můžete zapnout brzdy i akceleraci

Oblíbená elektrická koloběžka Xiaomi M365 obsahuje vážnou bezpečnostní chybu, kvůli které ji lze na dálku hacknout. Na svém blogu na to upozornila bezpečnostní firma Zimperium. Lze na ní takto zapnou brzdy i akceleraci a člověku, který ji právě využívá, ublížit.

Pracovníci Zimperium chybu demonstrovali ve videu, kde ukazují, jak je možné se koloběžky zmocnit. Ta je za normálních okolností uzamčená, člověk na ní může začít jezdit až při ověření v aplikaci, která se s ní připojí přes bluetooth. Právě bluetooth modul ale způsobuje, že bezpečnost není taková, jaká by měla být.

Výzkumníkům se podařilo přes bluetooth napojit, aniž by autentizaci přes aplikaci provedli. Pak na koloběžku nainstalovali firmware, který jim umožnil ji prakticky ovládávat. Mohli ji akcelerovat, brzdit… to vše se jim ve volném prostoru dařilo až do vzdálenosti 100 metrů.

Zimperium tvrdí, že o chybě informovalo Xiaomi. Mluvčí čínské společnosti ale uvedl, že firma o problému neinformovala přes klasický formulář pro nahlašování bugů. Na to Zimperium odvětilo, že přesně to udělalo. Ať je pravda kdekoli, Xiaomi o problému ví a pracuje na jeho nápravě.

Chyba je závažná nejen proto, že představuje bezpečnostní riziko, které může vyústit až ve fyzické úrazy, pokud by někdo koloběžky skutečně ovládl, ale i z toho důvodu, že Xiaomi M365 je populární mezi půjčovnami elektroloběžek, které rostou po celém světě.

„Může to mít zlé důsledky pro služby poskytující sdílenou jízdou, které používají Xiaomi koloběžky a bluetooth modul nevyměnily,“ popisuje Zimperium závažnost situace. „Tyto koloběžky jsou navíc často rebrandované a prodávané pod jiným jménem,“ dodává.

Pražáci využívající koloběžky Lime ale mohou být v klidu, konkrétně tato služba využívá jiný model.

Diskuze (8) Další článek: Gmail přináší nové užitečné funkce, jsou dostupné pod pravým tlačítkem myši

Témata článku: , , , , , , , , , , , , , , , , , ,