Xiaomi Mi Scooter (m365) hackerabile: aggiornamento risolve la vulnerabilità
Un hacker può riuscire a stabilire con semplicità la connessione Bluetooth con lo scooter e procedere all'installazione di un firmware malevolo, tramite il quale è possibile controllare funzioni chiave del mezzo (dal freno all'acceleratore).
Aggiornamento 21/03
Xiaomi risolve la vulnerabilità con l'aggiornamento 1.5.1 rilasciato in modalità OTA. Come spiegato dall'azienda cinese, l'update sarà disponibile previa installazione dell'ultima versione dell'app Mi Home / Xiaomi Home (5.5.0 per Android, 4.13.101 su iOS).
Articolo originale – 12/02
I ricercatori di Zimperium, azienda impegnata nel campo della cibersicurezza, hanno messo in evidenza una vulnerabilità che, se sfruttata dagli hacker, potrebbe consentire di prendere il controllo da remoto di un popolare monopattino elettrico, il Mi Scooter (m365) di Xiaomi. Rani Idan responsabile ricerca software di Zimperium ha dichiarato di aver individuare la falla in poche ore e di essere riuscito a sfruttarla con successo:
Sono stato in grado di prendere il controllo di qualsiasi funzionalità dello scooter senza autenticazione e di installare un firmware malevolo. L'aggressore potrebbe attivare improvvisamente il freno o accelerare …
Il ricercatore sottolinea che il software dello scooter presenta tre principali componenti: uno dedicato alla gestione della batteria, il firmware che serve ad interfacciare hardware e software ed infine quello dedicato al modulo Bluetooth che permette agli utenti di comunicare con lo scooter via wireless sfruttando la companion app per smartphone.
Proprio la connettività Bluetooth rappresenta l'anello debole della catena: il ricercatore ha notato infatti che è possibile collegarsi allo scooter via BT senza necessità di inserire una password o di soddisfare le richieste di altri sistemi di autenticazione. Una volta stabilita la connessione, il ricercatore ha potuto inviare e installare un firmware malevolo, senza che il sistema effettuasse verifiche sulla provenienza.
Nel filmato condiviso da Zimperium si illustra come sia possibile bloccare da remoto lo scooter: facile immaginare che se venisse realmente messo a segno un attacco di questo genere, mentre l'utente è impegnato ad attraversare l'incrocio, le conseguenze potrebbero essere molto gravi.
https://www.youtube.com/watch?v=ASygXa8UVYk
L'applicazione malevola effettua una scansione degli scooter Xiaomi presenti nelle vicinanze e, dopo aver stabilito la connessione, blocca il mezzo sfruttando la funzione antifurto.
Zimperium ha comunicato a Xiaomi la vulnerabilità scoperta, ma per la soluzione bisognerà attendere, visto che il produttore cinese si poggia ad uno sviluppatore esterno per l'implementazione del modulo Bluetooth dello scooter. Xiaomi dice che si tratta di un problema noto e che è al lavoro con il partner per risolverlo:
E' un problema noto internamente. Trattandosi di un prodotto frutto della collaborazione con terze parti, stiamo cercando di comunicare reciprocamente per trovare delle soluzioni.
Non è il primo caso documentato relativo ad una falla nei sistemi di sicurezza degli scooter elettrici: nel 2017 anche Segway/Ninebot fu protagonista di un episodio analogo – la vulnerabilità era sempre riconducibile alla connettività Bluetooth – e rilasciò un firmware con lo scopo di correggere parte dei problemi evidenziati dai ricercatori.
VIDEO
