Wenn vor 10 Jahren jemand gesagt hätte, dass es bald notwendig sein würde, nicht nur Laptops und Telefone, sondern auch Motorroller aufzuladen, hätte wahrscheinlich niemand geglaubt. Aber jetzt ist das fast keine Überraschung. Aber Fans dieser Art von Transport werden von einer weiteren Neuigkeit überrascht sein - der Elektroroller kann aus der Ferne gehackt werden, wonach der Angreifer die Möglichkeit erhält, das System zu steuern.
Und das ist kein Scherz, der Xiaomi m365 Roller erwies
sich als schlecht vor äußeren Einflüssen
geschützt . Ein Cyberkrimineller kann leicht die Kontrolle übernehmen und dann ein Fahrzeug beschleunigen, seine Geschwindigkeit erhöhen oder andere Aktionen ausführen.
Eine Sicherheitslücke wurde von Informationssicherheitsspezialisten von Zimperium entdeckt. Nach Angaben des Marktführers ist sein Team innerhalb weniger Stunden in das Schutzsystem des Geräts eingebrochen. Wie sich herausstellte, verfügt Xiaomi m365 über drei Softwarekomponenten. Das erste ist die Energieverwaltung (Batterie), das zweite ist die drahtlose Kommunikation (Bluetooth), das dritte ist eine Art „Verlegen“ zwischen den Hardware- und Softwaremodulen.
Am anfälligsten ist das Kommunikationsmodul. Wie sich herausstellte, können Sie eine Verbindung zum Roller herstellen, ohne ein Kennwort oder eine andere Authentifizierungsmethode zu senden. Danach können Sie Software von Drittanbietern installieren, und der Roller überprüft nicht die Originalsoftware des Herstellers oder etwas anderes. Das heißt, ein Angreifer kann problemlos Malware installieren und die Kontrolle übernehmen.
"Ich habe es geschafft, alle Funktionen des Scooters zu steuern, ohne das Authentifizierungsverfahren durchlaufen zu haben", sagte ein Unternehmensvertreter, der die Sicherheitsanfälligkeit untersuchte. "Ein Angreifer kann einen Roller plötzlich anhalten, beschleunigen oder direkt in eine Menschenmenge oder eine Gruppe von Autos lenken - dies ist das schlimmste Szenario, das Sie sich vorstellen können."
Das Problem mit dem Roller ist nicht neu, und es geht nicht einmal um Roller, sondern darum, das Internet der Dinge im Allgemeinen zu schützen. Hersteller intelligenter Geräte sind mehr besorgt über das Design und die Funktionalität ihrer Geräte als über den Schutz vor externen Faktoren, einschließlich Cyberkriminellen. Aufgrund der Nachlässigkeit der Hersteller wird es möglich, Botnets aus intelligenten Geräten wie Kameras, Kühlschränken, Schnellkochtöpfen und Routern zu bilden. Jetzt wurde klar, dass Fahrzeuge auch Hacking ausgesetzt sind.
Bei letzteren konnten Spezialisten für Informationssicherheit bereits 2017 Schwachstellen im Segway MiniPro-Sicherheitssystem
erkennen . Es gab auch eine aktive Sicherheitsanfälligkeit, die es einem Angreifer ermöglichte, die Kontrolle über ein Gerät zu übernehmen. Darüber hinaus kann der Täter auf Wunsch den Standort des Fahrzeugs in Echtzeit verfolgen. Die Lücke befand sich auch im Bluetooth-Modul, mit dem Sie mithilfe bestimmter Methoden zur Umgehung der Identitätsprüfung eine Verbindung ohne Authentifizierung herstellen konnten. Das Firmware-Update-System wurde auch ein wenig „schief“ aufgebaut, was es einem Angreifer ermöglichte, Software von Drittanbietern zu installieren, was noch mehr Möglichkeiten eröffnete, das Fahrzeug zu beeinflussen.
Es stimmt, dann hat das produzierende Unternehmen das Problem schnell behoben, weil es erkannt hat, wie gefährlich eine solche Sicherheitslücke ist.
Aber mit Xiaomi ist die Situation etwas schlimmer. Unternehmensvertreter sagten, sie wüssten von dem Problem, könnten es aber nicht selbst beheben. Tatsache ist, dass das Bluetooth-Modul von einem Dritthersteller geliefert wird, den Xiaomi nicht nennt. Jetzt versuchen beide Unternehmen, eine Lösung für das Problem zu finden. Alle M365-Roller sind jedoch weiterhin anfällig für Risse.
Zimperium hat eine Proof-of-Concept-Anwendung entwickelt, die das Problem demonstriert. Es stimmt, die Organisation hat diese Anwendung aus irgendeinem Grund veröffentlicht und sie für alle zugänglich gemacht. Vielleicht glauben sie in Zimperium, dass dies Xiaomi zwingen wird, das Problem der Verwundbarkeit aktiver anzugehen. Nicht jeder stimmt dieser Meinung zu, da die M365-Elektroroller zu Zehntausenden auseinander gehen und daher die Besitzer solcher Fahrzeuge in Gefahr sind.
Es scheint, dass Xiaomi die Sicherheitsanfälligkeit auf jeden Fall sehr schnell mit allen in der aktuellen Situation geltenden Mitteln und Methoden schließen muss.