Pozor, elektrické koloběžky Xiaomi jde hacknout, útočník může změnit rychlost za jízdy

Xiaomi M365, v Evropě známější jako Xiaomi Mi Scooter 2, má řadu kritických zranitelností, které lze poměrně snadno zneužít, odhalili výzkumníci firmy Zimperium.

AKTUALIZACE: původně jsme psali, že koloběžky Xiaomi M365 používá také Lime. Není to pravda, Lime od té doby potvrdilo, že tyto scootery vůbec nevyužívá. Čtenářům se omlouváme.

Velmi populární elektrické koloběžka Xiaomi M365, často užívaná firmami na půjčování zákazníkům pro krátké jízdy (ride-sharing, běžné například u Lime), lze nebezpečným způsobem hacknout vlivem zranitelnosti v Bluetooth modulu.

Obrázek: Pozor, elektrické koloběžky Xiaomi jde hacknout, útočník může změnit rychlost za jízdy

Koloběžka Xiaomi.

Xiaomi o chybě ví, opravena zatím není

Ve videu níže výzkumníci společnosti Zimperium ukazují, jak snadno dokáží zacílit na jakoukoliv projíždějící koloběžku, zablokovat ji, zvýšit či snížit rychlost nebo zabrzdit, a to na vzdálenost přinejmenším 100 metrů. Takový hack je potenciálně zdraví nebezpečný.

Zranitelnost lze zneužít i k DoS útokům a po zablokování koloběžky by na ní šel kupříkladu instalovat nový firmware. Útočník by nad ní následně převzal úplnou kontrolu.

Zimperium prý zranitelnost Xiaomi nahlásilo, firma ovšem ještě neprovedla aktualizaci softwaru. Mluvčí zasažené společnosti informoval, že Zimperium je nekontaktovalo skrze jejich reportingový nástroj; mluvčí Zimperium však kontroval zveřejněním kopie oficiálního reportu chyby skrze bezpečnostní portál Xiaomi, ve které zranitelnost čínská firma označuje za interně známou.

Obrázek: Pozor, elektrické koloběžky Xiaomi jde hacknout, útočník může změnit rychlost za jízdy

Koloběžky Lime, které často využívají rebrandované Xiaomi M365. V Praze jsou obvykle rozlámanější a povalují se všude možně. Zdroj: Daniel Hill, RFT

Xiaomi M365 patří mezi nejpopulárnější elektrické scootery – koloběžky – světa, používá je kupříkladu Bird. Bird tvrdí, že jeho koloběžky zasaženy nejsou a chybu již přes rok zná, Lime vyjádření zatím žádnému médiu neposkytl.

Není tak jasné, jaké konkrétní koloběžky jsou tedy zasaženy a jak moc je zranitelnost rozšířená, ale chyba se zdá celoplošná a celosvětová. Bird si zřejmě chybu opravil interně, vzhledem k tomu, že je známá delší dobu – to mohly udělat i další třetí strany včetně Lime, pokud se dozvíme nové informace, budeme vás informovat.

Koloběžky rebrandované a prodávané pod jiným názvem by podle Zimperium mohly rovněž trpět na stejnou zranitelnost.

Zdroj: 1, 2

5 Komentářů
nejstarší
nejnovější nejlépe hodnocené
Inline Feedbacks
View all comments
Filip

Lime vubec M365 nepouziva, to mate chybu.

Petr Hejna

A to až vám „hacknou“ autonomní auto. To teprve bude sranda !

Lyv
siky

Ten nadpis je tak bulvární až je k smíchu. Hacknout se dá vše co používá bezdrát. Takže nestrašte lidi takovými debilními nadpisy jak kdyby každé druhé upadlo kolo.

Obrázek: Uber zvítězil nad Londýnem, alespoň na 18 měsíců
Uber zvítězil nad Londýnem, alespoň na 18 měsíců
Obrázek: Válka trochu jinak: Restrikce USA na dovoz sílí, celní válka s Čínou vrcholí
Válka trochu jinak: Restrikce USA na dovoz sílí, celní válka s Čínou vrcholí
Obrázek: Domácí bezpečnostní kamera v podobě létajícího dronu? Skvělý nápad, řekl si Amazon
Domácí bezpečnostní kamera v podobě létajícího dronu? Skvělý nápad, řekl si Amazon
Obrázek: Amazon oznámil vlastní cloudovou herní platformu Luna
Amazon oznámil vlastní cloudovou herní platformu Luna
Obrázek: Jak se vrátit ke starému vzhledu Facebooku? Pomohou rozšíření pro prohlížeče
Jak se vrátit ke starému vzhledu Facebooku? Pomohou rozšíření pro prohlížeče
Obrázek: VPN řešení pro firmy zcela zdarma? Synology překvapilo a nabízí licenci na svou VPN Plus až do září 2021
VPN řešení pro firmy zcela zdarma? Synology překvapilo a nabízí licenci na svou VPN Plus až do září 2021
Obrázek: Canon reaguje na nedostatek webkamer na trhu: Stačí fotoaparát a program do PC
Canon reaguje na nedostatek webkamer na trhu: Stačí fotoaparát a program do PC
Obrázek: Jak stahovat videa a hudbu z YouTube? Jde to snadno v prohlížeči, PC i na mobilu
98%
Jak stahovat videa a hudbu z YouTube? Jde to snadno v prohlížeči, PC i na mobilu
Obrázek: Rusko se samo odpojí od globálního internetu: Vyzkouší si scénář války i izolace
Rusko se samo odpojí od globálního internetu: Vyzkouší si scénář války i izolace

Experiment by měl pomoci ruským odborníkům zjistit, zda je země schopna kompletně izolovat svůj síťový provoz od zbytku sítě internet....

Zavřít