Найдена уязвимость в Xiaomi M365 Electric Scooter. Присутствует угроза жизни пользователя


Бытовые смарт-девайсы, конечно, делают жизнь человека немного удобнее и комфортнее. Однако незащищенные смарт-девайсы могут не просто испортить день, но превратить его в кошмар.

Особую осторожность необходимо соблюдать владельцам электронных самокатов от Xiaomi, предупреждают специалисты компании Zimpеrium. По проведенным исследованиям, модель M365 Folding Elеctric Scоoter содержит простую в эксплуатации опасную уязвимость, которая может оказаться потенциальной угрозой жизни владельца самоката.

Xiaomi M365 Elеctric Scоoter поставляется фирменным мобильным приложением. С его помощью владелец может удаленно управлять своим самокатом через защищенное паролем Bluetоoth-подключение. Пользователь может: менять пароль, включать противоугонную систему, климат-контроль и эко-режим, а также обновлять прошивку самоката и просматривать статистику поездок.

Исследователи нашли, подтверждения тому, что самокат не проверяет подлинность пароля должным образом. Благодаря чему злоумышленник может спокойно отправлять ему по Bluetooth не аутентифицированные команды на расстоянии до 100 метров.

«В ходе проведенных исследованиях мы обнаружили, что пароль не используется должным образом как часть процесса аутентификации пользователя самоката, и все команды могут выполняться напрямую без пароля. Подлинность пароля проверяется только на стороне приложения, но сам самокат никак не отслеживает состояние аутентификации», — сообщается в отчете Zimpеrium.

С помощью такой уязвимости злоумышленник может удаленно вызвать отказ в обслуживании и заблокировать самокат, внедрить вредоносное программное обеспечение путем обновления прошивки и получить над ним полный контроль. В следствии чего, неожиданно для самого пользователя тормозить или менять скорость самоката во время поездки.

Исследователи сообщили об этом компании Xiaomi две недели назад. По словам производителя, в настоящее время проводится работа над обновлением.

Читать также  Улучшена безопасность Android 9. Что нового?