媒体对安全故障的报道有时很好。 Zimperium启示了对M365踏板车的攻击风险(请参见下文),制造商试图放心其用户,并在新闻稿中指出他现在正在努力解决这个问题。“小米的产品和安全团队正在准备一项OTA更新,该更新将尽快使用”,是否指定。
同时,制造商解释说他有“对任何未经授权的应用程序的障碍”但是,未经指定该应用程序的应用程序以及将如何进行这种障碍。实际上,M365踏板车可以通过Xioami的官方“ MI Home”应用来控制。但是,Apple Appstore和Google Play应用商店中也有第三方应用程序,可以访问相同的功能。
希望更新很快就会出现。如我们所见,剥削非常容易:
2019年2月12日发表的文章
该应用程序可以阻止一百米之内的所有小米踏板车
研究人员在移动应用程序中发现了一个缺陷,使任何人都可以通过蓝牙控制机器。
小米M365踏板车将在旅行中必须面临额外的危险。从现在开始,他们不仅会接触到周围的交通,而且还会接触到沿途的恶意黑客! Zimperium安全研究人员刚刚在GitHub上发表了Android应用程序的来源,如果它们在一百米之内,则可以锁定所有这些踏板车。这很危险。
该应用程序使用了小米M365的移动应用程序中发现的缺陷。这能够通过蓝牙与机器进行通信,并提供许多功能,例如锁/解锁踏板车,恢复使用统计信息或配置巡航控件。从理论上讲,在密码身份验证步骤之后,所有这些设置和信息才能访问。
但是这种身份验证是不足的。“密码仅在应用程序的侧面进行验证,但是踏板车本身并未遵循身份验证的状态”,解释研究人员博客。结果:可以在任何踏板车上执行任何订单,而无需任何身份验证,也可以不通知用户。就在附近。
您甚至可以更改固件
根据Zimperium的说法,黑客不仅可以远程锁定这些踏板车。它还可以安装固定固件并全面控制机器。甚至可以从智能手机加速或制动。研究人员说,他们已经开发了概念证明,以加快远程踏板车的速度。但是出于安全原因,他们没有发布相应的代码。
这家中国公司与Zimperium联系,确认了这一缺陷,但并未说它将在短期内将其用于Patcher。因为它位于由第三方开发的软件模块中,这似乎使问题的解决方案变得复杂。同时,防止这些攻击的唯一解决方案是……戴头盔。
最后,最终,小米M365也是另一个黑客的目标,比一个更质朴的目标。确实,该模型被鸟类公司用于其按需踏板车服务。或者,根据数字,以30欧元购买套件并使用少量肘油去除防盗保护并将其使用在眼睛中就足够了。
