Наверное, если бы лет 10 назад кто-то сказал, что вскоре заряжать нужно будет не только ноутбуки и телефоны, но и самокаты, никто бы не поверил. Но сейчас это уже практически ни у кого не вызывает удивления. Зато поклонники такого вида транспорта удивятся другой новости — электросамокат можно удаленно взломать, после чего злоумышленник получает возможность управлять системой.
И это не шутка, самокат Xiaomi m365 оказался плохо защищенным от внешнего вмешательства. Киберпреступник без особого труда может перехватить управление и затем ускорять транспортное средство, увеличивать его скорость или выполнять еще какие-нибудь действия.
Обнаружили уязвимость специалисты по информационной безопасности из компании Zimperium. По словам руководителя, его команда взломала систему защиты девайса всего за несколько часов. Как оказалось, у Xiaomi m365 есть три программных компонента. Первый — это управление электропитанием (батареей), второй — беспроводная связь (Bluetooth), третий — своеобразная «прокладка» между железом и программными модулями.
Как удалить пароль на xiaomi mi electric scooter m365
Наиболее уязвимым является модуль связи. Как оказалось, подключиться к скутеру можно без отправки пароля или какого-либо иного способа аутентификации. После того можно установить стороннее программное обеспечение, причем самокат не проверяет оригинальное это ПО от производителя или нечто иное. То есть злоумышленник может без особого труда установить malware и перехватить управление.
«У меня получилось управлять всеми функциями самоката без прохождения процедуры аутентификации», — заявил представитель компании, который изучал уязвимость. «Злоумышленник может внезапно остановить самокат, ускорить его или направить прямо в толпу людей или скопление автомобилей — это худший сценарий, который только можно себе представить».
Проблема с самокатом не нова, и дело даже не в самокатах, а в способах защиты IoT в целом. Производители умных устройств больше беспокоятся о дизайне и функциональности своих девайсов, чем о защите их от внешних факторов, включая киберпреступников. Из-за халатности производителей становится возможным формировать ботнеты из умных устройств, включая камеры, холодильники, скороварки, роутеры. Теперь стало понятно, что взлому подвержены и транспортные средства.
Что касается последних, то специалисты по информационной безопасности смогли обнаружить уязвимости в системе защиты Segway MiniPro еще в 2017 году. Здесь также была активна уязвимость, позволявшая злоумышленнику перехватить управление над устройством. Более того, при желании преступник мог в режиме реального времени отслеживать местоположение транспортного средства. Дыра тоже была в Bluetooth-модуле, который позволял подключаться без аутентификации, используя определенные методы обхода подтверждения личности. Система обновлений прошивки также была сформирована немного «криво», что давало возможность злоумышленнику установить стороннее ПО, которое открывало еще больше возможностей для воздействия на транспортное средство.
Правда, тогда компания-производитель быстро исправила проблему, поскольку понимала, насколько опасной является такая дыра в защите.
А вот с Xiaomi дело обстоит несколько хуже. Представители компании сообщили, что знают о проблеме, но не могут ее исправить своими силами. Дело в том, что Bluetooth-модуль поставляется сторонним производителем, которого Xiaomi не называет. Сейчас обе компании стараются найти решение проблемы. Тем не менее, все электросамокаты M365 остаются уязвимы к взлому.
Компания Zimperium разработала proof of concept приложение, которое наглядно демонстрирует проблему. Правда, организация зачем-то выложила это приложение, сделав его доступным для всех. Возможно, в Zimperium считают, что это заставит Xiaomi активнее решать вопрос с уязвимостью. С этим мнением согласны далеко не все, ведь электросамокаты М365 расходятся десятками тысяч, следовательно, владельцы таких транспортных средств находятся в опасности.
Похоже на то, что Xiaomi в любом случае придется очень быстро закрывать уязвимость, используя для этого любые средства и методы, применимые в текущей ситуации.
- Информационная безопасность
- Гаджеты
Источник: habr.com
Проблема с электросамокатами Xiaomi: их взламывают. Компания уже в курсе
Согласно отчёту, опубликованному исследовательской группой по безопасности Zimperium, популярные электросамокаты Xiaomi могут быть взломаны по протоколу Bluetooth.
В группе риска попадают модели Xiaomi M365, которые некоторые компании используют в качестве прокатных самокатов в городах США.
Используя найденную уязвимость в процессе сопряжения самоката со смартфоном, злоумышленники могут получить полный дистанционный контроль над самокатом, в том числе заставляя его ускоряться и тормозить.
Мы выяснили, что пароль не используется как часть процесса сопряжения между смартфоном и ПО самоката. Только приложение на смартфоне проверяет достоверный ввод пароля, а Xiaomi M365 не отслеживает состояние аутентификации должным образом.
из заявления исследовательской группы Zimperium
Специалисты утверждают, что им удалось получить контроль над противоугонной системой, функцией круиз-контроля, а также обновлять встроенное ПО самоката без проверки подлинности.
В качестве доказательства есть видео, на котором демонстрируется сканирование ближайших самокатов Xiaomi и отключение их через функцию «Антивор». Приложение взаимодействует со всеми самокатами в радиусе 100 метров.
Специалисты Zimperium уже проинформировали Xiaomi о найденной уязвимости программного обеспечения самокатов Xiaomi M365. На сегодняшний день никакой реакции от китайской компании не последовало.
UPD: представители Xiaomi прислали официальное сообщение с реакцией на проблему взлома своих электросамокатов.
Xiaomi известно об уязвимости самоката Mi Electric Scooter, которую хакеры умышленно могут использовать для управления чужим самокатом.
Как только компания узнала о проблеме, началась работа над ее устранением, а также удалением всех неоригинальных приложений.
В данный момент служба безопасности и группа разработчиков программного продукта осуществляют работу над обновлением, которое пользователи смогут получить по воздуху в ближайшее время.
Xiaomi ценит обратную связь с сообществом безопасности и стремится постоянно совершенствовать работу на основе отзывов, чтобы создавать безопасные продукты и постоянно улучшать их качество
Радует, что компания держит руку на пульсе и прислушивается к жалобам и сообщениям пользователей.
UPD: Xiaomi выпустила OTA-обновление прошивки (версия 1.5.1) для Mi Electric Scooter 18 марта 2019 года, чтобы устранить уязвимость, обнаруженную в прошлом месяце. Пользователям нужно установить последнюю версию приложения Mi Home / Xiaomi Home (Android версия 5.5.0 / iOS версия 4.13.101), чтобы получить новое обновление по воздуху для Mi Electric Scooter.
(17 голосов, общий рейтинг: 2.88 из 5)
Хочешь больше? Подпишись на наш Telegram.
Источник: www.iphones.ru
Как сбросить пароль на подключение Ninebot mini / PRO?
Уже не один раз к нам обращались с вопросом: что делать, если забыл пароль для соединения Ninebot mini/mini PRO со смартфоном? Есть очень простой, действенный и единственный способ, описанный ниже.
Чтобы сбросить пароль на подключение Ninebot mini/mini PRO к приложению необходимо сделать следующее:
- Выключите сегвей
- Переверните Ваш сегвей вверх ногами и установите таким образом, чтобы колеса оказались на весу. (Например поставить на ручку)
- Включить сегвей
- Дождаться пока колёса прокрутятся и остановятся.
- Готово!
Данный способ проверен на оригинальном Ninebot mini/mini PRO. Работа на копии/реплике/подделке не гарантируется. Как отличить подделку от оригинала можете узнать из ЭТОЙ статьи.
Надеемся, что смогли Вам помочь! Удачного дня и хороших покатушек!
Источник: www.ninebot.run