Исследователи обнаружили возможность заблокировать или ускорить электросамокат Xiaomi без ведома пользователя
Уязвимость нашли в управлении через Bluetooth, которое не требует никаких подтверждений.
Американская компания Zimperium, специализирующаяся на безопасности мобильных устройств, нашла в электросамокатах Xiaomi M365 уязвимость, которая позволяет получить удаленный доступ к их управлению.
Самокаты Xiaomi M365 оснащены Bluetooth-модулями, с помощью которых пользователи могут подключиться к ним и управлять через приложение. Специалисты Zimperium обнаружили, что подключиться к управлению можно без ввода пароля и других проверок, поскольку пароль проверялся только на стороне приложения, а самокат не отслеживает статус аутентификации и может принимать команды без нее.
Благодаря уязвимости злоумышленники могут резко затормозить, ускорить или полностью заблокировать самокат. Радиус поражения - 100 метров.
Команда Zimperium показала пример взлома самоката Xiaomi на случайных пользователях.
Zimperium предупредила Xiaomi об уязвимости. Производитель электроники ответил, что в курсе проблемы, но пока не может ее решить, так как в скутерах используются Bluetooth-модули от стороннего разработчика. В Xiaomi заверили, что работают над решением ситуации.
Электросамокаты Xiaomi M365 довольно популярны в США, в том числе их предлагают в аренду компании Lyft и Bird, отмечает Wired.
