也许,如果十年前有人说不久,将有必要不仅对笔记本电脑和手机充电,而且对踏板车充电,没人会相信。 但是现在这几乎不足为奇。 但是,这种运输方式的粉丝会对另一个消息感到惊讶-电动踏板车可以被远程入侵,此后攻击者就有机会控制系统。
而且这不是个玩笑,小米m365踏板车被
证明没有受到良好的保护,不受外界干扰。 网络罪犯可以轻松控制车辆,然后加速车辆,提高速度或执行其他一些操作。
Zimperium的信息安全专家发现了一个漏洞。 据这位负责人说,他的团队在短短几个小时内就闯入了该设备的保护系统。 事实证明,小米m365具有三个软件组件。 第一个是电源管理(电池),第二个是无线通信(蓝牙),第三个是硬件和软件模块之间的“放置”。
最容易受到攻击的是通信模块。 事实证明,您无需发送密码或任何其他身份验证方法即可连接到踏板车。 之后,您可以安装第三方软件,并且踏板车不会检查制造商提供的原始软件或其他产品。 也就是说,攻击者可以轻松安装恶意软件并控制。
研究该漏洞的公司代表说:“我无需进行身份验证程序即可控制踏板车的所有功能。” “攻击者可以突然停止踏板车,加速踏板车,或将其直接引向人群或成群的汽车-这是您可以想象的最糟糕的情况。”
踏板车的问题不是新问题,重点甚至不在踏板车上,而是在总体上保护物联网的方式上。 智能设备制造商更担心设备的设计和功能,而不是保护它们免受包括网络犯罪分子在内的外部因素的影响。 由于制造商的疏忽,有可能由智能设备构成僵尸网络,包括照相机,冰箱,压力锅,路由器。 现在很明显,车辆也受到黑客攻击。
至于后者,信息安全专家
可以在2017年
检测到Segway MiniPro安全系统中的漏洞。 还存在一个活动漏洞,攻击者可以利用该漏洞控制设备。 此外,如果需要,罪犯可以实时跟踪车辆的位置。 该漏洞也在蓝牙模块中,该漏洞允许您使用某些绕过身份验证的方法进行身份验证而不进行身份验证。 固件更新系统也有些“弯曲”地形成,这使得攻击者可以安装第三方软件,这为影响车辆打开了更多可能性。
没错,然后制造公司迅速解决了这个问题,因为它意识到了这样一个安全漏洞的危险性。
但是有了小米,情况就更糟了。 公司代表说他们知道这个问题,但是不能自己解决。 事实是,蓝牙模块是由第三方制造商提供的,小米未提供此名称。 现在,两家公司都在努力寻找解决方案。 但是,所有M365踏板车仍然容易破裂。
Zimperium已开发了证明该问题的概念证明应用程序。 没错,组织出于某种原因发布了此应用程序,从而使每个人都可以使用它。 也许他们在Zimperium中相信这将迫使小米更加积极地解决脆弱性问题。 并非所有人都同意这种观点,因为M365电动踏板车有数以万计的分歧,因此,此类车的车主处于危险之中。
在任何情况下,小米似乎都必须使用适用于当前情况的任何方法和方法非常快速地关闭漏洞。