ข้อบกพร่องร้ายแรงทำให้สามารถควบคุมสกู๊ตเตอร์ M365 จากระยะไกลได้จากสมาร์ทโฟนธรรมดา ผู้ผลิตจีนสัญญาว่าจะแก้ไขปัญหาดังกล่าวได้
การรายงานข่าวเกี่ยวกับช่องโหว่ด้านความปลอดภัยของสื่อบางครั้งก็ดี หลังจากการเปิดเผยโดย Zimperium เกี่ยวกับความเสี่ยงที่จะถูกโจมตีสกู๊ตเตอร์ M365 (ดูด้านล่าง) ผู้ผลิตพยายามที่จะสร้างความมั่นใจให้กับผู้ใช้และระบุในการแถลงข่าวว่าขณะนี้กำลังทำงานอย่างหนักในปัญหานี้“ทีมผลิตภัณฑ์และความปลอดภัยของ Xiaomi กำลังเตรียมการอัปเดต OTA ซึ่งจะพร้อมใช้งานโดยเร็วที่สุด”มันถูกระบุไว้
ขณะเดียวกันผู้ผลิตก็อธิบายว่าตั้งใจ“บล็อกการเข้าถึงแอปพลิเคชันที่ไม่ได้รับอนุญาต”โดยไม่ได้ระบุว่าแอปพลิเคชันใดที่เป็นปัญหา และการบล็อกนี้จะเกิดขึ้นได้อย่างไร แท้จริงแล้ว สกู๊ตเตอร์ M365 สามารถควบคุมได้ด้วยแอปพลิเคชัน “Mi Home” อย่างเป็นทางการจาก Xioami แต่ยังมีแอปพลิเคชันบุคคลที่สามใน Apple AppStore และร้านค้าแอปพลิเคชัน Google Play ที่ให้การเข้าถึงฟังก์ชันการทำงานเดียวกัน
หวังว่าการอัปเดตจะมาถึงเร็ว ๆ นี้ ดังที่เราได้เห็นไปแล้ว การดำเนินการค่อนข้างง่าย:
บทความเผยแพร่เมื่อวันที่ 12 กุมภาพันธ์ 2019
แอปนี้สามารถบล็อกสกู๊ตเตอร์ Xiaomi ทั้งหมดได้ภายในรัศมีหนึ่งร้อยเมตร
นักวิจัยพบข้อบกพร่องในแอปพลิเคชันมือถือที่ทำให้ทุกคนสามารถควบคุมเครื่องผ่าน Bluetooth ได้
ผู้ใช้สกู๊ตเตอร์ Xiaomi M365 จะต้องเผชิญกับอันตรายเพิ่มเติมในระหว่างการเดินทาง จากนี้ไป พวกเขาจะไม่เพียงแต่ถูกเปิดเผยต่อการรับส่งข้อมูลโดยรอบ แต่ยังรวมถึงแฮกเกอร์ที่เป็นอันตรายที่ซุ่มซ่อนตามเส้นทางของพวกเขาด้วย! นักวิจัยด้านความปลอดภัยจาก Zimperium เพิ่งเผยแพร่แหล่งที่มาของแอปพลิเคชัน Android บน GitHub ซึ่งช่วยให้สกู๊ตเตอร์เหล่านี้สามารถล็อคได้หากอยู่ในรัศมีหนึ่งร้อยเมตร ซึ่งอาจเป็นอันตรายได้
แอปพลิเคชันนี้ใช้ประโยชน์จากข้อบกพร่องที่พบในแอปพลิเคชันมือถือ Xiaomi M365 สิ่งนี้สามารถสื่อสารกับเครื่องผ่านบลูทูธ และนำเสนอฟีเจอร์มากมาย เช่น การล็อค/ปลดล็อคสกู๊ตเตอร์ การเรียกดูสถิติการใช้งาน หรือการกำหนดค่าระบบควบคุมความเร็วคงที่ ตามทฤษฎีแล้ว การตั้งค่าและข้อมูลทั้งหมดนี้สามารถเข้าถึงได้หลังจากขั้นตอนการรับรองความถูกต้องของรหัสผ่านเท่านั้น
แต่การรับรองความถูกต้องนี้ไม่เพียงพอ“รหัสผ่านได้รับการตรวจสอบเฉพาะที่ฝั่งแอปเท่านั้น แต่ตัวสกู๊ตเตอร์เองไม่ได้ติดตามสถานะการรับรองความถูกต้อง”อธิบายผู้วิจัยในกโพสต์ในบล็อก- ผลลัพธ์: สามารถดำเนินการคำสั่งใดๆ บนสกู๊ตเตอร์ใดๆ ก็ได้ โดยไม่ต้องมีการตรวจสอบสิทธิ์และไม่ต้องแจ้งเตือนผู้ใช้ คุณเพียงแค่ต้องอยู่ใกล้ ๆ
คุณสามารถแก้ไขเฟิร์มแวร์ได้
จากข้อมูลของ Zimperium แฮกเกอร์ไม่เพียงแต่สามารถล็อคสกู๊ตเตอร์เหล่านี้จากระยะไกลได้เท่านั้น นอกจากนี้ยังสามารถติดตั้งเฟิร์มแวร์ที่เสียหายและควบคุมเครื่องได้เต็มรูปแบบ นอกจากนี้ยังสามารถเร่งความเร็วหรือเบรกจากสมาร์ทโฟนได้อีกด้วย นักวิจัยกล่าวว่าพวกเขาได้พัฒนาข้อพิสูจน์แนวคิดในการเร่งความเร็วสกู๊ตเตอร์จากระยะไกล แต่ด้วยเหตุผลด้านความปลอดภัย พวกเขายังไม่ได้เผยแพร่รหัสที่เกี่ยวข้อง
บริษัทจีนได้รับการติดต่อจาก Zimperium และยืนยันข้อบกพร่องนี้ แต่ไม่ได้บอกว่าจะแก้ไขได้ในระยะสั้น เนื่องจากอยู่ในโมดูลซอฟต์แวร์ที่พัฒนาโดยบุคคลที่สาม ซึ่งดูเหมือนว่าจะทำให้การแก้ปัญหายุ่งยากขึ้น ในระหว่างนี้ ทางออกเดียวที่จะป้องกันการโจมตีเหล่านี้ได้คือการ... สวมหมวกกันน็อค
โปรดทราบว่าในที่สุด Xiaomi M365 ก็เป็นเป้าหมายของการแฮ็กอื่นเช่นกัน อันนี้ธรรมดากว่า อันที่จริง บริษัท Bird ใช้งานโมเดลนี้สำหรับบริการสกู๊ตเตอร์แบบออนดีมานด์ อย่างไรก็ตามตามตัวเลขก็เพียงพอที่จะซื้อชุดอุปกรณ์ในราคา 30 ยูโรและใช้จาระบีข้อศอกเล็กน้อยเพื่อถอดอุปกรณ์ป้องกันการโจรกรรมออกแล้วใช้ด้วยตา
🔴 เพื่อไม่ให้พลาดข่าวสารจาก 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
