媒体对安全漏洞的报道有时效果很好。在 Zimperium 披露 M365 踏板车存在遭受攻击的风险(见下文)后,该制造商试图安抚用户,并在一份新闻稿中表示,目前正在努力解决这个问题。“小米的产品和安全团队正在准备OTA更新,将尽快上线”,已指定。
与此同时,制造商解释说,他们的目的是“阻止访问任何未经授权的应用程序”,但没有具体说明哪些应用程序存在问题以及如何实现这种阻止。事实上,M365滑板车可以通过小米官方的“米家”应用程序进行控制。但 Apple AppStore 和 Google Play 应用程序商店中也有第三方应用程序提供对相同功能的访问。
希望更新很快到来。正如我们所看到的,操作非常简单:
文章发表于2019年2月12日
此应用可以屏蔽半径百米内的所有小米滑板车
研究人员在移动应用程序中发现了一个缺陷,允许任何人通过蓝牙控制机器。
小米M365滑板车的用户在旅途中将不得不面临额外的危险。从现在开始,他们不仅会暴露在周围的交通中,还会暴露在沿途潜伏的恶意黑客的威胁之下! Zimperium 的安全研究人员刚刚在 GitHub 上发布了 Android 应用程序的源代码,该应用程序允许所有这些滑板车在半径一百米内被锁定。这可能很危险。
该应用程序利用了小米 M365 移动应用程序中发现的缺陷。它能够通过蓝牙与机器通信,并提供一系列功能,例如锁定/解锁踏板车、检索使用统计数据或配置巡航控制。理论上,所有这些设置和信息只有在密码验证步骤之后才能访问。
但这种认证是有缺陷的。“密码仅在应用程序端验证,但滑板车本身不会跟踪身份验证状态”,研究人员解释说博客文章。结果:可以在任何滑板车上执行任何命令,无需任何身份验证,也无需通知用户。您只需要在附近即可。
您甚至可以修改固件
据 Zimperium 称,黑客不仅可以远程锁定这些滑板车。它还可以安装损坏的固件并完全控制机器。甚至可以通过智能手机加速或刹车。研究人员表示,他们已经开发出远程加速踏板车的概念验证。但出于安全考虑,他们并没有公布相应的代码。
Zimperium联系了这家中国公司,证实了这一缺陷,但没有表示会在短期内修复它。因为它位于第三方开发的软件模块中,这似乎使问题的解决变得复杂。与此同时,防止这些攻击的唯一解决方案是……戴上头盔。
最后请注意,小米 M365 也是另一次黑客攻击的目标,这次黑客攻击更加质朴。事实上,Bird 公司将这种模型用于其按需踏板车服务。然而,根据努梅拉马,花30欧元买一套套件,费点力气就可以把防盗保护去掉,用眼睛看就够了。
