小米电动滑板车容易遭到劫持

流行的电动踏板车的缺陷已增加了围绕这些设备的安全隐患，在过去的一年中，这些安全隐患已侵入多个城市。

该小蜜M365是一个包含漏洞的一些摩托车租赁公司使用的电动车，可以让黑客采取完全远程控制车辆，包括导致摩托车突然加速或制动，根据周二由安全研究小组发布信息Zimperium。该公司指责踏板车的密码认证过程是通过蓝牙通信完成的。

Zimperium在一份声明中说：“在我们的研究过程中，我们确定踏板车在身份验证过程中未正确使用密码，并且所有命令都可以在没有密码的情况下执行。” “密码仅在应用程序端进行验证，但踏板车本身不会跟踪身份验证状态。”

研究人员说，他们能够与该设备的防盗系统，巡航控制和环保模式进行交互，并更新其固件，而无需进行身份验证。

Zimperium发布了一个概念验证视频，显示其应用程序扫描附近的小米踏板车，并通过其防盗功能禁用了它们。Zimperium表示，该应用程序可在半径328英尺(100米)内的任何M365上运行。

小米的一位女发言人说，该公司已意识到该漏洞，并正在研究解决方案。

小米发言人Agatha Tang在一份声明中说：“一旦发现此漏洞，我们将一直在努力修复它并删除所有未经授权的应用程序。” “与此同时，小米的产品和安全团队正在准备OTA(无线)更新，并将尽快提供。”

骇客事件加剧了围绕可租用电动踏板车的担忧，随着它们在越来越多的城市中露面，监管机构急于围绕新的运输方式制定法律，这已成为一个有争议的话题。有人说，他们喜欢能够在拥挤的城市周围逐块搜寻。其他人则抱怨说，骑手无视交通法规，在人行道上骑行，将踏板车留在任何他们喜欢的地方，从而危及行人的安全。

Zimperium发现的缺陷类似于2017年发现的困扰Segway气垫板的缺陷。IOActive发现，可以通过蓝牙更新手动将命令发送到Segway应用程序而无需身份验证，从而获得对气垫板的完全远程访问。

标签：

版权声明：本文由用户上传，如有侵权请联系删除！