媒體對安全漏洞的報告有時效果很好。在 Zimperium 披露 M365 踏板車有遭受攻擊的風險(見下文)後,該製造商試圖安撫用戶,並在一份新聞稿中表示,目前正在努力解決這個問題。“小米的產品和安全團隊正在準備OTA更新,將盡快上線”,已指定。
同時,製造商解釋說,他們的目的是“阻止訪問任何未經授權的應用程式”,但沒有具體說明哪些應用程式存在問題以及如何實現這種阻止。事實上,M365滑板車可以透過小米官方的「米家」應用程式進行控制。但 Apple AppStore 和 Google Play 應用程式商店中也有第三方應用程式提供相同功能的存取。
希望更新很快到來。正如我們所看到的,操作非常簡單:
文章發表於2019年2月12日
此應用程式可以屏蔽半徑百公尺內的所有小米滑板車
研究人員在行動應用程式中發現了一個缺陷,允許任何人透過藍牙控制機器。
小米M365滑板車的使用者在旅途中將不得不面臨額外的危險。從現在開始,他們不僅會暴露在周圍的交通中,還會暴露在沿途潛伏的惡意駭客的威脅之下! Zimperium 的安全研究人員剛剛在 GitHub 上發布了 Android 應用程式的源代碼,該應用程式允許所有這些滑板車在半徑一百公尺內被鎖定。這可能很危險。
該應用程式利用了小米 M365 行動應用程式中發現的缺陷。它能夠透過藍牙與機器通信,並提供一系列功能,例如鎖定/解鎖踏板車、檢索使用統計數據或配置巡航控制。理論上,所有這些設定和資訊只有在密碼驗證步驟之後才能存取。
但這種認證是有缺陷的。“密碼僅在應用程式端驗證,但滑板車本身不會追蹤身份驗證狀態”,研究人員解釋說部落格文章。結果:可以在任何滑板車上執行任何命令,無需任何身份驗證,也無需通知用戶。您只需要在附近即可。
您甚至可以修改韌體
據 Zimperium 稱,駭客不僅可以遠端鎖定這些滑板車。它還可以安裝損壞的韌體並完全控制機器。甚至可以透過智慧型手機加速或煞車。研究人員表示,他們已經開發出遠端加速踏板車的概念驗證。但出於安全考慮,他們並沒有公佈相應的代碼。
Zimperium聯繫了這家中國公司,證實了這個缺陷,但沒有表示會在短期內修復它。因為它位於第三方開發的軟體模組中,這似乎使問題的解決變得複雜。同時,防止這些攻擊的唯一解決方案是…戴上頭盔。
最後請注意,小米 M365 也是另一次駭客攻擊的目標,這次駭客攻擊更加質樸。事實上,Bird 公司將這種模型用於其按需踏板車服務。然而,根據努梅拉馬,花30歐元買一套套件,費點力氣就可以把防盜保護去掉,用眼睛看就夠了。
