ربما ، قبل 10 سنوات قبل أن يقول أحدهم أنه سيكون من الضروري قريبًا شحن أجهزة الكمبيوتر المحمولة والهواتف فحسب ، بل وأيضاً الدراجات البخارية ، ما كان ليصدقه أحد. ولكن الآن هذه ليست مفاجأة تقريبا. ولكن سوف يفاجأ عشاق هذا النوع من النقل بأخبار أخرى - يمكن اختراق السكوتر الكهربائي عن بُعد ، وبعد ذلك تتاح للمهاجم الفرصة للسيطرة على النظام.
هذه ليست مزحة ، فقد تحول سكوتر Xiaomi m365
إلى حماية سيئة من التداخل الخارجي. يستطيع مجرمي الإنترنت التحكم بسهولة ثم تسريع السيارة أو زيادة سرعتها أو القيام ببعض الإجراءات الأخرى.
تم اكتشاف ثغرة أمنية بواسطة متخصصين في أمن المعلومات من Zimperium. وفقًا للزعيم ، اقتحم فريقه نظام حماية الجهاز في غضون ساعات قليلة. كما اتضح ، يحتوي Xiaomi m365 على ثلاثة مكونات برمجية. الأول هو إدارة الطاقة (البطارية) ، والثاني هو الاتصالات اللاسلكية (بلوتوث) ، والثالث هو نوع من "وضع" بين وحدات الأجهزة والبرامج.
الأكثر ضعفا هو وحدة الاتصالات. كما اتضح فيما بعد ، يمكنك الاتصال بالسكوتر دون إرسال كلمة مرور أو أي طريقة مصادقة أخرى. بعد ذلك ، يمكنك تثبيت برنامج تابع لجهة خارجية ، ولا يتحقق السكوتر من البرنامج الأصلي من الشركة المصنعة أو أي شيء آخر. أي أنه يمكن للمهاجم تثبيت البرامج الضارة والتحكم فيها بسهولة.
"لقد تمكنت من السيطرة على جميع وظائف سكوتر دون المرور عبر إجراءات المصادقة" ، قال ممثل الشركة الذي درس الضعف. "يمكن للمهاجم إيقاف دراجة نارية فجأة أو تسريعها أو توجيهها مباشرة إلى حشد من الناس أو مجموعة من السيارات - هذا هو أسوأ سيناريو يمكنك أن تتخيله."
إن مشكلة السكوتر ليست جديدة ، والنقطة ليست حتى في الدراجات البخارية ، ولكن في طرق حماية إنترنت الأشياء بشكل عام. الشركات المصنعة للأجهزة الذكية أكثر قلقًا بشأن تصميم ووظائف أجهزتها أكثر من قلقها بشأن حمايتهم من العوامل الخارجية ، بما في ذلك مجرمو الإنترنت. بسبب إهمال الشركات المصنعة ، يصبح من الممكن تشكيل شبكات الروبوتات من الأجهزة الذكية ، بما في ذلك الكاميرات والثلاجات وطناجر الضغط وأجهزة التوجيه. أصبح من الواضح الآن أن السيارات تخضع أيضًا للتسلل.
بالنسبة إلى هذا الأخير ،
تمكن متخصصو أمن المعلومات
من اكتشاف نقاط الضعف في نظام الأمان Segway MiniPro في عام 2017. كان هناك أيضًا ثغرة أمنية نشطة سمحت للمهاجم بالسيطرة على الجهاز. علاوة على ذلك ، إذا رغبت في ذلك ، يمكن للجاني في الوقت الحقيقي تتبع موقع السيارة. كانت الفتحة موجودة أيضًا في وحدة Bluetooth ، والتي سمحت لك بالاتصال دون مصادقة ، باستخدام طرق معينة للتحايل على التحقق من الهوية. تم أيضًا تشكيل نظام تحديث البرنامج الثابت "بطريقة ملتوية" قليلاً ، مما مكن المهاجم من تثبيت برنامج تابع لجهة خارجية ، مما فتح إمكانيات أكثر للتأثير على السيارة.
صحيح ، ثم قامت شركة التصنيع بإصلاح المشكلة بسرعة ، لأنها أدركت مدى خطورة مثل هذه الثغرة الأمنية.
ولكن مع Xiaomi ، فإن الوضع أسوأ إلى حد ما. قال ممثلو الشركة إنهم يعرفون المشكلة ، لكنهم لم يتمكنوا من حلها بمفردهم. والحقيقة هي أن وحدة Bluetooth يتم توفيرها من قبل جهة تصنيع خارجية ، والتي لم تذكرها Xiaomi. تحاول الشركتان الآن إيجاد حل للمشكلة. ومع ذلك ، فإن جميع الدراجات البخارية M365 لا تزال عرضة للتشقق.
وقد وضعت Zimperium دليلا على تطبيق المفهوم الذي يوضح المشكلة. صحيح ، قامت المنظمة لسبب ما بنشر هذا التطبيق ، مما يجعله في متناول الجميع. ربما في Zimperium يعتقدون أن هذا سوف يجبر Xiaomi على معالجة مشكلة الضعف بشكل أكثر فعالية. لا يتفق الجميع مع هذا الرأي ، لأن الدراجات البخارية الكهربائية M365 تتباعد بعشرات الآلاف ، وبالتالي فإن أصحاب هذه المركبات في خطر.
يبدو أن Xiaomi في أي حال سوف تضطر إلى إغلاق مشكلة عدم الحصانة بسرعة كبيرة باستخدام أي وسيلة وأساليب قابلة للتطبيق في الوضع الحالي.