indexex press
krpress.ru 19 Февраля 2019




Без тормозов. В скутерах Xiaomi отыскали уязвимость, которая дает возможность выключать тормоза

14 Февраля 2019, 03:09 | Крючков Глеб Максимович

Без тормозов: уязвимость в скутерах Xiaomi позволяет полностью захватить над ними контроль - Mail.ru Hi-Tech

Исследователи обнаружили в электросамокатах Xiaomi уязвимость позволяющую удаленно захватить контроль над транспортным средством

При помощи уязвимости обидчик может удаленно вызвать отказ в обслуживании и заблокировать самокат, внедрить вредоносное ПО путем обновления прошивки и получить над ним полный контроль, а кроме этого неожиданно для пользователя тормозить либо менять скорость самоката во время поездки. Первопричиной ученые называют процесс авторизации, который осуществляется по Bluetooth.

Ученые утверждают, что им удалось действовать с противоугонной системой, круиз-контролем и экономным режимом скутера, а еще обновлять его прошивку без запроса авторизации. При всем этом «радиус поражения» скутеров составляет до 100 метров. Ежели точнее, оказалось, что пароль, который требуется для самоката, не применяется как положено в качестве защиты — проверка идёт только со стороны приложения, а само устройство никак этот аспект не проверяет. Пароль проверяется только на стороне приложения, однако сам скутер не отслеживает состояние аутентификации. Особо опасна заключительная функция - на скутер можно залить собственное ПО с любой функциональностью. Выбранный скутер можно вынудить неожиданно остановиться либо очень быстро разогнаться, можно даже на все 100% отключить тормоза.

Ученые предусмотрительно опубликовали исходный код программы, использующей только 1-ый сценарий атаки github.com.

Выявленная уязвимость заставит компании немедленно закончить использование скутеров Xiaomi M365 в собственных арендных службах. Регуляторы спешат составить правила применения нового вида транспорта.

Примечательно, что это не 1-ый случай в своём роде. Вскоре Xiaomi, а кроме этого компании, с которыми работает китайский производитель, должны выпустить обновление прошивки, которое закроет уязвимость. Для опыта профессионалы Zimperium взяли модель электросамоката Xiaomi M365, в которой через фирменное ПО и Bluetooth пользователь может управлять противоугонной системой, круиз-контролем, эко-режимом и обновлением прошивки. Как только компания узнала о проблеме, началась работа над ее устранением, а кроме этого удалением всех неоригинальных приложений.

Cейчас служба безопасности и группа разработчиков программного продукта работает над обновлением, которое юзеры смогут получить по воздуху совсем скоро. В пресс-центре Xiaomi сказали vc.ru, что работают над устранением уязвимости.

Похожие публикации