Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

0-day na elektryczną hulajnogę Xiaomi. Można nią zdalnie sterować!

12 lutego 2019, 16:30 | W biegu | komentarzy 5

Szczegóły na blogu Zimperium. Chodzi o model Xiaomi M365, na którym bazuje sporo innych sprzętów tego typu, i który ma możliwość komunikacji z zewnętrzną aplikacją mobilną poprzez Bluetooth.

Z opisu podatności wynika, że hasło dostępowe jest wprawdzie wymagane aby komunikować się bezprzewodowo z hulajnogą, ale… sprawdzane jest tylko po stronie aplikacji mobilnej. Co można dalej zrobić? Wgrać swój firmware (nie ma żadnych sprawdzeń podpisów cyfrowych czy innych tego typu dodatkowych zabezpieczeń).

Następnie można np. przyspieszać zdalnie hulajnogę, nagle ją zatrzymywać, itp. Autorzy przygotowali specjalną aplikację, która skanuje okoliczne hulajnogi (zasięg do ~100 metrów) i nagle, we skazanym przez atakującego momencie, zatrzymuje dowolną hulajnogę. Akcja:

Żarty na bok – w filmie pojawia się słuszna informacja:

Losing control of your scooter mid-trafic can be lethal.

Xiaomi wie o problemie, ale jeszcze nie załatało problem… powiedzmy że można cały czas traktować to jako 0-day. Bezpiecznej jazdy. I nie próbujcie tego typu hacków na mieście.

–ms

 

 

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. tiktak

    dlaczego mnie takie rzeczy nie bawią.. za stary już jestem..

    Odpowiedz
    • Glupol

      bo może jesteś już świadom, że bezpieczeństwo to bezpieczeństwo niezależnie od tego na jakiej platformie (hulajnoga, tesla, serwer, IoT etc.).
      Wszystko to tylko kosmetyka a błędy często powielają się niezależnie od platformy.

      Odpowiedz
  2. Marcin

    Do tego dochodzą samochody i wszelkie IOT i w zasadzie zbrodnia doskonała, np.: koleś odpalił hulajnogę i wjechał pod autobus, jechał samochodem na serpentynach górskich, nagle włączyło się radio na full, plus wycieraczki, spanikował i game over.

    Odpowiedz
    • zero one

      No, ale przecież SI nas uratuje… ;-E

      Odpowiedz
  3. Mateusz

    Powiedzcie mi jedno, po co implementować interfejs do zdalnego sterowania w hulajnodze?! Chyba nikt nie będzie sterować hulajnogą jak samochodzikiem, co nie?

    Odpowiedz

Odpowiedz