Самокаты Xiaomi могут контролироваться дистанционно злоумышленниками

В самокатах Xiaomi Mijia Electric Scooter нашли уязвимость, с помощью которой хакеры могут получать полный дистанционный контроль над транспортным средством. Об этом рассказали специалисты по безопасности компании Zimperium zLabs.

Самокат Xiaomi содержит Bluetooth-модуль, который позволяет пользователям взаимодействовать со своим устройством через приложение для смартфона. Тестирования показали, что из-за недоработанного процесса авторизации, осуществляемого по Bluetooth, злоумышленник может легко разместить вредоносное ПО на самокате, полностью контролируя его.

Мы oпределили, что пароль Bluetooth-модуля не испoльзуется дoлжным образом как часть прoцесса идентификации на устройстве и что все кoманды могут выпoлняться без пароля. Нам удалось контролировать любые функции самоката и установить вредоносную прошивку.

Zimperium zLabs связалась с Xiaomi, чтобы сообщить об ошибке, но производитель самокатов ответил, что знает о проблеме и не имеет возможности самостоятельно её устранить. Вероятно, что Xiaomi получает Bluetooth-модуль для производства Mijia Electric Scooter от стороннего производителя.

В 2017 году исследователи обнаружили аналогичные проблемы в ховербордах Segway MiniPro. Однако компания, принадлежащая китайскому производителю скутеров Ninebot, решила вопрос с Bluetooth-модулем сразу после его выявления.

Обновление (15.02): Xiaomi сделала официально заявление по возникшей проблеме:

Xiaomi известно об уязвимости самоката Mi Electric Scooter, которую хакеры умышленно могут использовать для управления чужим самокатом. Как только компания узнала о проблеме, началась работа над её устранением, а также удалением всех неоригинальных приложений. В данный момент служба безопасности и группа разработчиков программного продукта осуществляют работу над обновлением, которое пользователи смогут получить по воздуху в ближайшее время.