Mungkin, jika 10 tahun yang lalu seseorang mengatakan bahwa akan segera diperlukan untuk mengisi daya tidak hanya laptop dan telepon, tetapi juga skuter, tidak ada yang akan percaya. Tapi sekarang ini hampir tidak mengejutkan. Tetapi penggemar jenis transportasi ini akan dikejutkan oleh berita lain - skuter listrik dapat diretas dari jarak jauh, setelah itu penyerang mendapat kesempatan untuk mengendalikan sistem.
Dan ini bukan lelucon, skuter Xiaomi M365 ternyata
kurang terlindungi dari gangguan eksternal. Cybercriminal dapat dengan mudah mengambil kendali dan kemudian mempercepat kendaraan, menambah kecepatannya atau melakukan beberapa tindakan lain.
Kerentanan ditemukan oleh spesialis keamanan informasi dari Zimperium. Menurut pemimpinnya, timnya membobol sistem perlindungan perangkat hanya dalam beberapa jam. Ternyata, Xiaomi m365 memiliki tiga komponen perangkat lunak. Yang pertama adalah manajemen daya (baterai), yang kedua adalah komunikasi nirkabel (Bluetooth), yang ketiga adalah semacam "meletakkan" antara modul perangkat keras dan perangkat lunak.
Yang paling rentan adalah modul komunikasi. Ternyata, Anda dapat terhubung ke skuter tanpa mengirim kata sandi atau metode otentikasi lainnya. Setelah itu, Anda dapat menginstal perangkat lunak pihak ketiga, dan skuter tidak memeriksa perangkat lunak asli dari pabrikan atau yang lainnya. Artinya, seorang penyerang dapat dengan mudah menginstal malware dan mengambil kendali.
"Saya berhasil mengendalikan semua fungsi skuter tanpa melalui prosedur otentikasi," kata seorang perwakilan perusahaan yang mempelajari kerentanan. "Seorang penyerang tiba-tiba dapat menghentikan skuter, mempercepatnya, atau mengarahkannya langsung ke kerumunan orang atau sekelompok mobil - ini adalah skenario terburuk yang dapat Anda bayangkan."
Masalah dengan skuter bukanlah hal baru, dan intinya bukan pada skuter, tetapi dalam cara untuk melindungi IOT secara umum. Pabrikan perangkat pintar lebih khawatir tentang desain dan fungsionalitas perangkat mereka daripada melindungi mereka dari faktor eksternal, termasuk penjahat cyber. Karena kelalaian produsen, dimungkinkan untuk membentuk botnet dari perangkat pintar, termasuk kamera, lemari es, pressure cooker, router. Sekarang menjadi jelas bahwa kendaraan juga mengalami peretasan.
Adapun yang terakhir, spesialis keamanan informasi
mampu mendeteksi kerentanan dalam sistem keamanan Segway MiniPro pada tahun 2017. Ada juga kerentanan aktif yang memungkinkan penyerang untuk mengambil kendali perangkat. Apalagi, jika diinginkan, pelaku bisa secara real time melacak lokasi kendaraan. Lubang itu juga ada dalam modul Bluetooth, yang memungkinkan Anda terhubung tanpa otentikasi, menggunakan metode tertentu untuk menghindari verifikasi identitas. Sistem pembaruan firmware juga dibentuk sedikit "bengkok", yang memungkinkan penyerang untuk menginstal perangkat lunak pihak ketiga, yang membuka lebih banyak kemungkinan untuk mempengaruhi kendaraan.
Benar, maka perusahaan manufaktur dengan cepat memperbaiki masalah, karena menyadari betapa berbahayanya lubang keamanan tersebut.
Tetapi dengan Xiaomi, situasinya agak lebih buruk. Perwakilan perusahaan mengatakan mereka tahu tentang masalah itu, tetapi tidak bisa memperbaikinya sendiri. Faktanya adalah bahwa modul Bluetooth dipasok oleh produsen pihak ketiga, yang tidak disebutkan namanya oleh Xiaomi. Sekarang kedua perusahaan berusaha mencari solusi untuk masalah tersebut. Namun, semua skuter M365 tetap rentan terhadap keretakan.
Zimperium telah mengembangkan aplikasi bukti konsep yang menunjukkan masalah. Benar, organisasi karena suatu alasan memposting aplikasi ini, membuatnya dapat diakses oleh semua orang. Mungkin di Zimperium mereka percaya bahwa ini akan memaksa Xiaomi untuk lebih aktif menangani masalah kerentanan. Tidak semua orang setuju dengan pendapat ini, karena skuter listrik M365 berbeda dalam puluhan ribu, oleh karena itu, pemilik kendaraan tersebut dalam bahaya.
Tampaknya Xiaomi dalam hal apa pun harus dengan sangat cepat menutup kerentanan menggunakan segala cara dan metode yang berlaku dalam situasi saat ini.