駭客找到方法「遙控」小米的 M365 電動滑板車
電動滑板車不僅是我們這裡,在國外也是個愈來愈熱門的產品類別,而小米雖然進入市場不算早,但因有合作的共享滑板車廠商,因此在美國已有了不錯的發展。不過行動安全公司 Zimperium 發現,小米的 M365 電動滑板車(應該就是米家電動滑板車)的藍芽模組有個漏洞,讓駭客可以「遙控」滑板車的油門。
這個漏洞利用了藍芽模組與手機 App 間的連線,駭客不需特別的密碼或確認,就能直接連進 M365 的系統,而且當駭客上傳惡意軟體到機器上時,系統也不會確認軟體是否來自受信任的官方來源。這讓他們可以做到任意遙控滑板車的加減速,置騎乘者於極大的危險。更麻煩的是,在 Zimperium 向小米通報漏洞後,小米表示沒有能力自行修復問題,必需要找開發藍芽模組的第三方開發者才行。
在當下除了寄望兩方合作迅速把問題搞定之外,購買者似乎也沒有什麼更好的方法啊。