您的位置:首页 >互联网 >

小米电动摩托车易受远程劫持

电动滑板车已经淹没了全世界城市的街道,对一些人来说是一种烦恼,现在也可能被认为是一种安全和安全风险。

周二,来自旧金山的研究人员Rani Idan披露了小米M365电动滑板车存在的一个漏洞,它可能允许攻击者远程控制车辆,导致包括突然加速或制动在内的问题。

问题在于滑板车如何认证其用户,或缺乏。

据伊丹介绍,在认证过程中,用于验证滑板车车载计算机系统的密码并没有得到“正确使用”。由于密码只在应用程序端进行验证,滑板车本身并不监控身份验证状态,因此“所有命令都可以在没有密码的情况下执行。”

另请参阅:打开此映像文件可以让黑客访问您的Android手机。

在没有认证或用户同意的情况下,研究人员能够通过对滑板车防盗机制的拒绝服务(DoS)攻击锁定M365,以及控制制动和加速,并为“安装一个能够完全控制滑板车的新的恶意固件”奠定必要的基础。

CNET:俄罗斯可能会退出互联网来测试其网络防御能力。

为了证明该漏洞,Zimperium创建了一个概念证明(PoC)代码,该代码作为恶意应用程序开发,能够扫描附近的XiaomiM365指示器并发送精心制作的有效载荷以利用该缺陷。

伊丹说,100米外的车辆可以被利用。

远程锁定滑板车的攻击可以在下面的视频中查看:

能影响小米M365车辆安全的安全缺陷已经足够严重,但也值得注意的是,这些车辆也是由第三方供应商通过滑板车租赁计划使用、改装和提供的。

Tech Republic:科技公司是不是把双重因素认证做得太过分了?

Zimperium表示,小米了解了这些发现,2019年1月28日,该公司表示这是“第三方产品”导致的“内部已知问题”。然而,Zimperium说那些摩托车还没有修补。

更新14.51GMT:小米发言人告诉ZDNet:

小米意识到了恶意黑客可能利用的漏洞,以中断MiElectricSooter的操作。一旦我们发现了这个漏洞,我们就一直在努力修复它,并删除所有未经授权的应用程序。

与此同时,小米的产品和安全团队正在准备一个OTA(空中)更新,并将尽快提供。小米重视用户和安全社区的反馈,我们致力于在所有反馈的基础上不断改进,以建立更好、更安全的产品。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
关键词: