Xiaomi Mi Scooter (m365) hackerabile: aggiornamento risolve la vulnerabilità

21 Marzo 2019 127

Aggiornamento 21/03

Xiaomi risolve la vulnerabilità con l'aggiornamento 1.5.1 rilasciato in modalità OTA. Come spiegato dall'azienda cinese, l'update sarà disponibile previa installazione dell'ultima versione dell'app Mi Home / Xiaomi Home (5.5.0 per Android, 4.13.101 su iOS).

Articolo originale - 12/02

I ricercatori di Zimperium, azienda impegnata nel campo della cibersicurezza, hanno messo in evidenza una vulnerabilità che, se sfruttata dagli hacker, potrebbe consentire di prendere il controllo da remoto di un popolare monopattino elettrico, il Mi Scooter (m365) di Xiaomi. Rani Idan responsabile ricerca software di Zimperium ha dichiarato di aver individuare la falla in poche ore e di essere riuscito a sfruttarla con successo:

Sono stato in grado di prendere il controllo di qualsiasi funzionalità dello scooter senza autenticazione e di installare un firmware malevolo. L'aggressore potrebbe attivare improvvisamente il freno o accelerare ...

Il ricercatore sottolinea che il software dello scooter presenta tre principali componenti: uno dedicato alla gestione della batteria, il firmware che serve ad interfacciare hardware e software ed infine quello dedicato al modulo Bluetooth che permette agli utenti di comunicare con lo scooter via wireless sfruttando la companion app per smartphone.

Proprio la connettività Bluetooth rappresenta l'anello debole della catena: il ricercatore ha notato infatti che è possibile collegarsi allo scooter via BT senza necessità di inserire una password o di soddisfare le richieste di altri sistemi di autenticazione. Una volta stabilita la connessione, il ricercatore ha potuto inviare e installare un firmware malevolo, senza che il sistema effettuasse verifiche sulla provenienza.

Nel filmato condiviso da Zimperium si illustra come sia possibile bloccare da remoto lo scooter: facile immaginare che se venisse realmente messo a segno un attacco di questo genere, mentre l'utente è impegnato ad attraversare l'incrocio, le conseguenze potrebbero essere molto gravi.


L'applicazione malevola effettua una scansione degli scooter Xiaomi presenti nelle vicinanze e, dopo aver stabilito la connessione, blocca il mezzo sfruttando la funzione antifurto.

Zimperium ha comunicato a Xiaomi la vulnerabilità scoperta, ma per la soluzione bisognerà attendere, visto che il produttore cinese si poggia ad uno sviluppatore esterno per l'implementazione del modulo Bluetooth dello scooter. Xiaomi dice che si tratta di un problema noto e che è al lavoro con il partner per risolverlo:

E' un problema noto internamente. Trattandosi di un prodotto frutto della collaborazione con terze parti, stiamo cercando di comunicare reciprocamente per trovare delle soluzioni.

Non è il primo caso documentato relativo ad una falla nei sistemi di sicurezza degli scooter elettrici: nel 2017 anche Segway/Ninebot fu protagonista di un episodio analogo - la vulnerabilità era sempre riconducibile alla connettività Bluetooth - e rilasciò un firmware con lo scopo di correggere parte dei problemi evidenziati dai ricercatori.

VIDEO

Il miglior Galaxy del 2020? Samsung Galaxy S20 Plus, in offerta oggi da Mobzilla a 620 euro oppure da Yeppon a 752 euro.

127

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
Horatio

Conta che a Milano li noleggiano.

Antonio Mariani

Premesso che non ho letto tutto, perché non voglio, privati e aziende seguono la legge. Se la legge non è pronta, il problema non è risolto. Certo un'azienda non è un singolo, ma se le aziende danno delle garanzie è anche per via della legislazione che prevede n cose da seguire.

E in questo caso la legge non dice molto, e neppure siamo pronti all'iot in altri ambiti se vogliamo.
E dato che tu non sai leggere, ho detto chiaramente che non tutto il mondo è una città organizzata.
Quindi non sforzarti a rispondere, perché non lo leggerò.
Come per l'iot, non siamo veramente pronti all'ingresso di queste tecnologie a causa delle falle che ancora presentano e che si sottostimano.

Vash 3rr0r

Il fatto che sia privato non è irrilevante nella discussione: e un' azienda non è mai in ogni caso equiparabile al singolo cittadino.
La macchina privata ricade totalmente nella voce dei costi e infatti è equiparabile ad un bene di lusso, una macchina del car sharing è UNO STRUMENTO e come tale viene dato in affitto ad un costo, tale costo include anche la manutenzione: quando la macchina si rompe, si guasta o va aggiornata queste spese sono già tenute in considerazione ed effettuate e come in ogni azienda gli strumenti sono soggetti ad ammortamento e quindi viene anche tenuto in considerazione un ciclo vitale che al suo esaurimento porta alla sostituzione dello strumento con un'altro, cosa che il singolo cittadino fa molta più fatica a fare non ottenendo alcun guadagno dal veicolo.

Aggiungo che il parco automobili PRIVATE circolante in Italia ha mediamente 9 anni( alcune quotidiani riportano 11 anni all' ultimo censimento, altre analisi 9 e mezzo), le auto delle società di sharing hanno un ciclo di vita nettamente inferiore: pertanto già oggi risultano essere sempre in linea con le specifiche più aggiornante del costruttore: tutto questo iter non ha motivo di essere diverso in futuro a prescindere dal tipo di veicolo.

Tu hai commentato ad un mio intervento dove partivo dicendo: "nelle grandi città con l'aumentare del car sharing il problema non si pone". Mi pare ovvio quindi che di questo sto parlando, non ho mai affrontato il discorso su un contesto diverso, ergo non ho mai detto che il problema globale sarà risolto così e realisticamente parlando accadrà esattamente come oggi: il singolo cittadino che puo' permettersi i costi del veicolo lo terrà aggiornato, alcuni la cambieranno e tanti altri usufruiranno degli aggiornamenti solo quando cambieranno il veicolo e altri ancora le trascureranno completamente: ci sono degli obblighi anche oggi, ma c'è sempre qualcuno che se ne frega e tra 100 anni questo comportamento non sarà diverso.

ilmondobrucia

Allora erano veri poliziotti

Antonio Mariani

No, non è affatto risolto, perché il gestore del servizio di car sharing è un privato come può esserlo il singolo cittadino. L'unico modo per risolverlo è avere una legislazione chiara e rigorosa, che oggi non c'è, ergo...non è risolto. Secondo, so come funziona il car sharing e non devi spiegarmelo to ed ho detto un'altra cosa. Ho detto che il mondo non è una sola grande città, per cui il problema è doppiamente irrisolto.

Davide Villa

No

Vash 3rr0r

Nelle grandi città il car sharing sono realtà consolidate. Io sono di Milano e ho molti amici che non possiedono neppure la macchina: quando ti serve la prendi sotto casa a noleggio( e di giorno ti sposti con i mezzi). Lo scarico della manutenzione ( qualunque essa sia) va al gestore ovviamente ma il dettaglio che trascuri è che nel prezzo del servizio è compresa anche la quota per la manutenzione ordinaria.
Se pensiamo che nel futuro oltre al filtro e cambio olio, ci sarà sicuramente anche l'aggiornamento software, il problema è risolto eccome.
Non è un qualcosa di futuristico in termini cinematografici ma solamente di tempo: SE e QUANDO le macchine saranno a guida autonoma in maggioranza, il venir meno della possibilità di guidarla farà venir meno anche l'interesse di possederla perchè a quel punto non ci sentiremo più rappresentanti da quel tipo di oggetto.

ilmondobrucia

Era carnevale?

Davide Villa

A Modena sono passato davanti ad un auto della polizia piena e non mi hanno fermato quindi solo se trovi lo str***o ti fanno la multa

Pietro Smusi

Speriamo bene

Antonio Mariani

Ti rendersi ben conto che un telefono è una cosa, un veicolo un'altra

Antonio Mariani

Eh già, ma il mondo non è una metropoli alla blade runner. Inoltre il problema rimane, farlo gestire dal gestore del servizio di car sharing non risolve le cose

Paolo C.

Scherzone

Ezio_loscemo

forse è meglio che faccia solo scooter e il mi9 viva sony

Tony Musone

"In teoria" ;)

Raxien

Si spera :D

Tony Musone

Vero. Infatti altrove ho scritto "in teoria" ma in questo caso rispondevo "all'attesa di 20 anni" quando neanche in tutti i Paesi europei sono considerati legali. Ora, si presume di non dover aspettare tanto, voci di corridoio dicono che verso aprile verranno definite le modalità e gli strumenti operativi.

Raxien

No. Mancano le modalità di attuazione.

Alessandro Peter

Non c'è un pin di default, ma è possibile abilitarlo da app.

Raxien

"A tale fine, entro trenta giorni dalla data di entrata in vigore della presente legge, [...] sono definiti le modalità di attuazione e gli strumenti operativi della sperimentazione"

I 30 giorni sono scaduti il 31 gennaio.
Ad oggi stando alla legge sono ancora illegali.

Tony Musone

In teoria, dalla pubblicazione della recente legge di bilancio, sono diventati legali

Tony Musone

Veramente nell'art 190 c. 8 si legge: La circolazione mediante tavole, pattini od altri acceleratori di andatura è vietata sulla carreggiata delle strade.

E un Decreto Ministeriale del 2003 ha sancito che i monopattini elettrici (con una velocità massima o inferiore ai 6 Km/h) possono essere assimilati agli acceleratori di andatura. Invece quelli che superano quella velocità sono assimilati ai ciclomotori a due, tre o quattro ruote e quindi devono essere omologati. Dopodiché possono circolare solo sulla carreggiata.

Ma nella recente legge di Bilancio hanno inserito un'articolo (il 102 che - se t'interessasse ho allegato sotto in un altro commento -) che dovrebbe normalizzare la situazione. Poi è anche vero che a Milano, fino a che non succede nulla, sono anche ben visti.

Tony Musone

Veramente nella recente legge di bilancio si legge:

102. Al fine di sostenere la diffusione della micromobilità elettrica e promuovere l’utilizzo di mezzi di trasporto innovativi e sostenibili, nelle città è autorizzata la sperimentazione della circolazione su stradadi veicoli per la mobilità personale a propulsione prevalentemente elettrica, quali segway, hoverboard e monopattini. A tale fine, entro trenta giorni dalla data di entrata in vigore della presente legge, con decreto del Ministro delle infrastrutture e dei trasporti sono definiti le modalità di attuazione e gli strumenti operativi della sperimentazione

ilmondobrucia

Meno per chi la usa

qandrav

il tuo correttore è più interessato alle università più che alle due ruote XD

Hachiko

Divertente

Hachiko
Gupi

Purtroppo il rischio è già concreto. Le Tesla per esempio, possono essere hackerate senza problemi..

Desmond Hume

sbloccandolo fino a quale velocità si può portare? vorrei battere una di queste sul quarto di miglio https://uploads.disquscdn.c...

Antares

Lo comprerò quando Polimi farà uno scarico adeguato.
Quello di serie non mi piace

Piddì

Ni

StriderWhite

Purtroppo...e non ti auguro di usarlo!

Pietro Smusi

Aspetta solo che i legislatori capiscano che possono tassare e che l'Europa ci mazzuoli per non usare mezzi elettrici. 20 anni è una previsione onesta. Ovviamente mancando le infrastrutture dedicate ci saranno i ritardi del caso, perché guai a non investire miliardi per mandare a casa 50enni da buongiornissimo e per far prelevare contante da mettere sotto al materasso dal reddito di nullafacenza.

Esiste software italiano?

Alessandro Peter

il CdS non ha menzioni per questi mezzi, ma a quanto pare stanno cercando di provvedere con decreti appositi. Nel frattempo leggo tanti commenti su "multe salate" e "sequestri", ma anche googlando non sono ancora riuscito a tirar fuori nemmeno una fake news in tal merito.
A Milano poi ci sono addirittura gli m365 in sharing con app. Io e la mia compagna ne abbiamo comprati due e ci giriamo tranquillamente ovunque. Vigili, polizia, Carabinieri.. nessuno ci ha mai multati, tantomeno fermati.
Ricapitolando: all'atto pratico la legge non li classifica e le f.o. li ignorano.

qandrav

che rapidità, 40 giorni per un aggiornamento così importante

BLERY

Solo 20 anni? Non sarà mai vista bene

Pietro Smusi

Devi sapere che qui in Italia la micro mobilità è vista male, bisogna aspettare almeno 20 anni per adeguarsi al resto dei paesi del primo mondo.

Patri

al momento si. se ti trovano fuori area private ti fanno una bella multa salata e credo anche il sequestro del mezzo.

Vash 3rr0r

Per le grandi metropoli l'evoluzione logica è il totale abbandono dell' auto di proprietà a favore di veicoli autonomi in sharing.
Quindi il problema (in questo scenario abbastanza lontano ma reale) non esiste.

asd555

La tua vita sessuale deve essere emozionante.

Ripeto la mia domanda :

Ma questo coso in Italia è legale?
In teoria potrebbe circolare solo in aree private.

Maxim Castelli

È un piacere relazionarsi con utenti intelligenti come te.

Madalin Bujor

Tranquillo

Madalin Bujor

Grazie per la correzione, non mi veniva la parola

EttoreTurbodiesel

Sarà bello quando il software delle nuove auto sempre più autonome sarà abbandonato come accade sui telefoni, lasciando bug aperti senza più patch.
Tanto dopo qualche anno basta prenderne una nuova se manca il supporto software no?

Horatio

No un momento, qualsiasi dispositivo si può collegare al BT del monopattino? Non c'è un PIN?

Maxim Castelli

Addirittura...

Horatio

Quando l'ho letto ho sentito una fitta al cuore.

Dark!tetto

A me piace roottare, mi da un senso di libertà xD

HDBlog.it

Amazon sorprende: Telecamera drone, Fire TV, nuovi Echo, Ring Car e Eero 6

Economia e mercato

Nikola Motor contro Hindenburg tra ipotesi di frode e crollo in borsa | Video

Speciale

Benzina o Ibrido plug-in? Consumi, costi ed emissioni. La mia esperienza

Guide acquisto

La guida definitiva ai monopattini: sicurezza, accessori, consumi, differenza con bici elettriche e consigli