小米电动滑板车被曝存在漏洞 或突然加速或突然刹车

最近有消息称小米电动滑板车现漏洞,可随时被黑客远程控制,这是怎么一回事?据悉,黑客可以远程操控比如导致滑板车突然加速或突然刹车。如果是真的这是很危险的一件事,目前小米的这款滑板车于去年引入美国数个城市,为一些共享电动滑板车公司所用。

Zimperium认为,问题出在滑板车的密码验证过程中,该验证通过蓝牙通信完成。

“在我们的研究过程中,我们认为,密码在验证过程中未被正确使用,所有命令都可以绕过密码执行,”Zimperium在声明中写道,“密码仅在应用端验证,但滑板车本身不跟踪身份验证状态。”

研究人员称,他们可以无需验证地与设备的防盗系统、导航系统和生态模式进行互动,并更新设备固件。

Zimperium还发布了一则概念验证视频,演示其应用扫描附近的小米滑板车后,通过他们的防盗功能禁用车辆。Zimperium称,应用对任何100米半径范围内的M365滑板车有效。

该漏洞进一步增加了人们对可出租电动滑板车的担忧。随着这些滑板车陆续出现在各大美国城市以及监管机构匆忙出台法律应对这一新的交通模式,围绕这一设备的争议越来越大。不少人认为,他们更愿意在拥堵的城市间骑着滑板车穿梭于各个街区。反对者认为,骑手通常无视交通规则,在人行道上行使,从而危害行人安全,并且随意停放车辆。

Zimperium发现的这个漏洞与2017年Segway悬浮滑板上发现的漏洞类似。IOActive发现,其可以通过向蓝牙更新手动向Segway发送命令远程方位悬浮滑板,完全无需身份验证。

早前有消息,小米已成为美国最大的电动滑板车供应商,这些电动滑板车由小米供货,然后贴上美国公司商标上市,这个漏洞看来并不是小事情,Zimperium表示,其已经将该漏洞通知小米。小米暂未立即回复评论请求。

标签: 小米