Уязвимость в Xiaomi M365 Electric Scooter представляет потенциальную угрозу жизни пользователя

Уязвимость в Xiaomi M365 Electric Scooter представляет потенциальную угрозу жизни пользователя

Самокат не проверяет подлинность пароля, позволяя неавторизованному атакующему удаленно отправлять команды.

Бытовые смарт-устройства, безусловно, делают жизнь человека удобнее и комфортабельнее. Однако незащищенные смарт-устройства могут не просто испортить день, но превратить его в худший ночной кошмар.

Особую осторожность следует соблюдать владельцам электронных самокатов от Xiaomi, предупреждают специалисты компании Zimperium. По словам исследователей, модель M365 Folding Electric Scooter содержит простую в эксплуатации опасную уязвимость, которая может представлять потенциальную угрозу жизни владельца самоката.

Xiaomi M365 Electric Scooter поставляется с сопутствующим мобильным приложением. С его помощью владелец может удаленно управлять своим самокатом через защищенное паролем Bluetooth-подключение. В частности через приложение пользователь может менять пароль, включать противоугонную систему, климат-контроль и эко-режим, обновлять прошивку самоката и просматривать статистику поездок в режиме реального времени.

Исследователи обнаружили, что самокат не проверяет подлинность пароля должным образом. Благодаря этому злоумышленник может отправлять ему по Bluetooth неаутентифицированные команды на расстоянии до ста метров.

«В ходе исследования мы обнаружили, что пароль не используется должным образом как часть процесса аутентификации пользователя самоката, и все команды могут выполняться без пароля. Подлинность пароля проверяется только на стороне приложения, но сам самокат не отслеживает состояние аутентификации», - сообщается в отчете Zimperium.

С помощью уязвимости злоумышленник может удаленно вызвать отказ в обслуживании и заблокировать самокат, внедрить вредоносное ПО путем обновления прошивки и получить над ним полный контроль, а также неожиданно для пользователя тормозить или менять скорость самоката во время поездки.

Исследователи сообщили Xiaomi об уязвимости две недели назад. По словам производителя, в настоящее время идет работа над обновлением.

Официальное заявление от Xiaomi: Xiaomi известно об уязвимости самоката Mi Electric Scooter, которую хакеры умышленно могут использовать для управления чужим самокатом. Как только компания узнала о проблеме, началась работа над ее устранением, а также удалением всех неоригинальных приложений. В данный момент служба безопасности и группа разработчиков программного продукта осуществляют работу над обновлением, которое пользователи смогут получить по воздуху в ближайшее время. Xiaomi ценит обратную связь с сообществом безопасности и стремится постоянно совершенствовать работу на основе отзывов, чтобы создавать безопасные продукты и постоянно улучшать их качество.

Мы нашли признаки жизни...в вашем смартфоне!

Наш канал — питательная среда для вашего интеллекта

Эволюционируйте вместе с нами — подпишитесь!