Elektryczne hulajnogi są w Polsce coraz popularniejsze. Te bardziej zaawansowane modele można połączyć ze smartfonem np. w celu zablokowania lub monitoringu. Jednak w przypadku jednego z produktów Xiaomi – hulajnogi  M365 – funkcja ta stała się problematyczna. Hakerzy mogą przez Bluetooth nagle zatrzymać urządzenie. Może to mieć fatalne konsekwencje w ruchu drogowym i w bezpieczeństwie użytkownika. Ułatwia też kradzież urządzenia.

Lukę odkryła firma Zimperium, zajmująca się bezpieczeństwem w sieci. Jak wiadomo, hulajnoga M365 może być sterowana przez Bluetooth za pomocą aplikacji mobilnej. Funkcja ta może być używana na przykład do aktywacji i dezaktywacji ochrony przed kradzieżą, regulacji prędkości lub aktualizacji oprogramowania sprzętowego. Chociaż sama aplikacja korzysta z ochrony hasłem, to hasło dotyczy tylko aplikacji, a nie komunikacji z urządzeniem. W rezultacie do hulajnogi można wysłać przez Bluetooth spreparowane polecenie z innego telefonu, które zostanie wykonane bez przeszkód.

Zimperium stworzyło aplikację Proof-of-Concept, za pomocą której można dezaktywować ochronę przed kradzieżą dowolnej hulajnogi Xiaomi M365 w promieniu stu metrów. Ze względów bezpieczeństwa, firma nie chce publikować tej aplikacji i poinformowała Xiaomi o wykrytej luce bezpieczeństwa. Xiaomi wie o sprawie, ale na razie nie opublikowano żadnej łatki bezpieczeństwa.

 

Xiaomi opublikowało dzisiaj oświadczenie w sprawie wykrytej luki, którego treść przedstawiamy poniżej:

Xiaomi zdaje sobie sprawę, że hakerzy mogą z premedytacją wykorzystywać przeoczenie firmy w celu przejęcia kontroli nad elektrycznymi hulajnogami. Marka rozpoczęła już pracę nad usunięciem wszelkich nieautoryzowanych aplikacji, a zespół ds. bezpieczeństwa pracuje nad aktualizacją mechanizmu OTA (over-the-air), która już wkrótce będzie dostępna dla użytkowników. Producent ceni opinie swoich klientów i nieustannie dąży do doskonalenia produktów zarówno pod względem ich jakości, jak i bezpieczeństwa.