未來科技局 | 物聯網時代是黑客的時代?小米電動滑板車已中招
物聯網的口號可能要改一改了:
萬物皆可聯網被黑!
去年底小米釋出了新的生態鏈產品:M365 電動滑板車,不得不說小米看準了現代人短距離出行的剛需,喜歡它的人可不止是代駕師傅。
沒想到電動滑板車流行起來之後,還沒造成城市交通問題呢,網路安全問題先爆出來了。來自移動安全公司 Zimperium 的研究人員發出警報:小米的 M365 電動滑板車模型有一個令人擔憂的漏洞,該漏洞可能允許攻擊者遠端接管滑板車,比如控制滑板車突然加速和緊急剎車!
Zimperium 軟體研究總監 Rani Idan 表示,他們的分析發現踏板車包含三個軟體元件:電池管理,硬體和軟體之間協調的韌體,以及允許使用者通過智慧手機應用與他們的踏板車通訊的藍芽模組。正是最後一個元件使裝置嚴重暴露!
Idan 很快發現他可以通過藍芽連線到踏板車,而不會被要求輸入密碼或以其他方式進行身份驗證。然後他可以更進一步,在滑板車上安裝韌體,而系統不會檢查這個新軟體是否是官方的。這意味著攻擊者可以輕易地將惡意軟體放在踏板車上,讓自己完全掌控它!