关注我们

研究:小米电动滑板车有漏洞 可无需身份验证远程访问

LzersLzers 安全快讯 2019-02-13 663030 0

据美国科技媒体CNET援引安全研究组织Zimperium周二发布的研究报道称,小米型号为M365的电动滑板车存在漏洞,可能会让黑客远程控制该滑板车,比如导致滑板车突然加速或突然刹车。小米的这款滑板车于去年引入美国数个城市,为一些共享电动滑板车公司所用。Zimperium认为,问题出在滑板车的密码验证过程中,该验证通过蓝牙通信完成。

研究:小米电动滑板车有漏洞 可无需身份验证远程访问

“在我们的研究过程中,我们认为,密码在验证过程中未被正确使用,所有命令都可以绕过密码执行,”Zimperium在声明中写道,“密码仅在应用端验证,但滑板车本身不跟踪身份验证状态。”

研究人员称,他们可以无需验证地与设备的防盗系统、导航系统和生态模式进行互动,并更新设备固件。

Zimperium还发布了一则概念验证,演示其应用扫描附近的小米滑板车后,通过他们的防盗功能禁用车辆。Zimperium称,应用对任何100米半径范围内的M365滑板车有效。

该漏洞进一步增加了人们对可出租电动滑板车的担忧。随着这些滑板车陆续出现在各大美国城市以及监管机构匆忙出台法律应对这一新的交通模式,围绕这一设备的争议越来越大。不少人认为,他们更愿意在拥堵的城市间骑着滑板车穿梭于各个街区。反对者认为,骑手通常无视交通规则,在人行道上行使,从而危害行人安全,并且随意停放车辆。

Zimperium发现的这个漏洞与2017年Segway悬浮滑板上发现的漏洞类似。IOActive发现,其可以通过向蓝牙更新手动向Segway发送命令远程方位悬浮滑板,完全无需身份验证。

Zimperium表示,其已经将该漏洞通知小米。小米暂未立即回复评论请求。

版权声明

本文仅代表作者观点,不代表黑白网立场。
如文章侵犯了您的权利,请通过邮箱联系我们删除。
详情查看:版权纠纷
E-Mail:server@heibai.org

喜欢0发布评论

评论列表

发表评论

  • 昵称(必填)
  • 邮箱
  • 网址