小米 M365 電動滑板車傳出資安漏洞,駭客可以遠端操控

作者 | 發布日期 2019 年 02 月 15 日 15:00 | 分類 交通運輸 , 資訊安全 follow us in feedly

研究人員發現小米的 M365 電動滑板車具有安全漏洞,駭客可以透過這個漏洞遠端操控任何一台滑板車,任意進行加速或剎車,嚴重危及用戶的生命安全。




網路安全公司 Zimperium 的軟體研究總監 Rani Idan 發現,M365 電動滑板車用來與使用者智慧型手機連結的藍牙模組暴露在巨大的資安風險中。Idan 表示,用藍牙連結到電動滑板車不需要任何密碼或身分驗證,即使在滑板車安裝韌體系統也不會檢查這是不是官方更新,這代表駭客可輕易把惡意軟體安裝到滑板車上並遠端進行操控。駭客只要透過惡意軟體遠端讓滑板車加速或剎車,就很可能導致用戶受傷甚至死亡。

小米官方表示已經發現這個問題,不過無法自行解決。科技媒體 WIRED 推測這是因為 M365 電動滑板車的藍牙模組為第三方供應商提供,因此小米沒辦法直接處理。小米告知 Zimperium 這是與第三方合作的產品,目前正在溝通解決方案。藍牙連結的資安風險在物聯網裝置中其實並不罕見,容易造成各種隱私和安全的風險。Idan 指出物聯網裝置無所不在,雖然消費者會認為這些裝置會提供最好的安全防護,不過不幸的是並非每次都如此。

▲ 網路安全公司 Zimperium 在影片中示範如何遠端操控 M365 電動滑板車。

M365 電動滑板車是一款暢銷車種,中國售價為 1,999 人民幣,約新台幣 9,100 元,最長續航距離達 30 公里。M365 電動滑板車也被共享電動滑板車平台 Bird 和 Lyft 採用,客製化的 M365 電動滑板車甚至是 Bird 的第一款滑板車型號,不過目前已逐步淘汰。

(首圖來源:小米

延伸閱讀: