Probablement, si il y a 10 ans quelqu'un avait dit qu'il faudrait bientôt recharger non seulement les ordinateurs portables et les téléphones, mais aussi les scooters, personne n'aurait cru. Mais maintenant, ce n'est presque pas une surprise. Mais les fans de ce type de transport seront surpris par une autre nouvelle: le scooter électrique peut être piraté à distance, après quoi l'attaquant a la possibilité de contrôler le système.
Et ce n'est pas une blague, le scooter Xiaomi m365 s'est
avéré être mal protégé des interférences externes. Un cybercriminel peut facilement prendre le contrôle puis accélérer un véhicule, augmenter sa vitesse ou effectuer d'autres actions.
Une vulnérabilité a été découverte par des spécialistes de la sécurité de l'information de Zimperium. Selon le leader, son équipe a fait irruption dans le système de protection de l'appareil en quelques heures seulement. Il s'est avéré que le Xiaomi m365 avait trois composants logiciels. Le premier est la gestion de l'alimentation (batterie), le second est la communication sans fil (Bluetooth), le troisième est une sorte de «pose» entre les modules matériels et logiciels.
Le plus vulnérable est le module de communication. Il s'est avéré que vous pouvez vous connecter au scooter sans envoyer de mot de passe ou toute autre méthode d'authentification. Après cela, vous pouvez installer un logiciel tiers et le scooter ne vérifie pas le logiciel d'origine du fabricant ou autre chose. Autrement dit, un attaquant peut facilement installer des logiciels malveillants et prendre le contrôle.
«J'ai réussi à contrôler toutes les fonctions du scooter sans passer par la procédure d'authentification», a expliqué un représentant de l'entreprise qui a étudié la vulnérabilité. "Un attaquant peut soudainement arrêter un scooter, l'accélérer ou le diriger directement vers une foule de personnes ou un groupe de voitures - c'est le pire scénario que vous puissiez imaginer."
Le problème avec le scooter n'est pas nouveau, et le point n'est même pas dans les scooters, mais dans les moyens de protéger l'IoT en général. Les fabricants d'appareils intelligents sont plus préoccupés par la conception et la fonctionnalité de leurs appareils que par leur protection contre les facteurs externes, y compris les cybercriminels. En raison de la négligence des fabricants, il devient possible de former des réseaux de zombies à partir d'appareils intelligents, notamment des caméras, des réfrigérateurs, des autocuiseurs, des routeurs. Maintenant, il est devenu clair que les véhicules sont également sujets au piratage.
Quant à ce dernier, des spécialistes de la sécurité de l'information
ont pu détecter des vulnérabilités dans le système de sécurité Segway MiniPro en 2017. Il y avait également une vulnérabilité active qui permettait à un attaquant de prendre le contrôle d'un appareil. De plus, s'il le souhaite, le contrevenant pourrait suivre en temps réel l'emplacement du véhicule. Le trou se trouvait également dans le module Bluetooth, ce qui vous permettait de vous connecter sans authentification, en utilisant certaines méthodes pour contourner la vérification d'identité. Le système de mise à jour du micrologiciel a également été formé un peu "de travers", ce qui a permis à un attaquant d'installer un logiciel tiers, ce qui a ouvert encore plus de possibilités pour affecter le véhicule.
Certes, la société de fabrication a rapidement résolu le problème, car elle a réalisé à quel point un tel trou de sécurité était dangereux.
Mais avec Xiaomi, la situation est un peu pire. Les représentants de l'entreprise ont déclaré qu'ils connaissaient le problème, mais qu'ils ne pouvaient pas le résoudre par eux-mêmes. Le fait est que le module Bluetooth est fourni par un fabricant tiers, que Xiaomi ne nomme pas. Maintenant, les deux sociétés tentent de trouver une solution au problème. Cependant, tous les scooters M365 restent vulnérables aux fissures.
Zimperium a développé une application de preuve de concept qui illustre le problème. Certes, l'organisation pour une raison quelconque a publié cette application, la rendant accessible à tous. Peut-être qu'à Zimperium, ils croient que cela forcera Xiaomi à s'attaquer plus activement au problème de la vulnérabilité. Tout le monde n'est pas d'accord avec cette opinion, car les scooters électriques M365 divergent par dizaines de milliers, par conséquent, les propriétaires de tels véhicules sont en danger.
Il semble que Xiaomi devra en tout cas fermer très rapidement la vulnérabilité en utilisant tous les moyens et méthodes applicables dans la situation actuelle.