Hackers podem ter acesso a scooter da Xiaomi e acelerá-la ou travá-la

14 de Fevereiro de 2019
17 Partilhas 163 Visualizações
3 Comentários

As frotas de scooters elétricas que inundaram cidades são suficientemente alarmantes e em Lisboa até se tem falado muito sobre as desvantagens. Agora, acrescente preocupações com a cibersegurança à lista: pesquisadores da empresa de segurança móvel Zimperium alertam que o popular modelo de scooter M365 da Xiaomi tem um problema de segurança preocupante. A falha pode permitir que um invasor consiga aceder remotamente a qualquer uma das scooters para controlar coisas cruciais como, por exemplo, aceleração e travagem.

Rani Idan, diretor de pesquisa de software da Zimperium, diz que descobriu e conseguiu explorar a falha horas depois de avaliar a segurança do M365.Na sua análise descobriu que as scooters contêm três componentes de software: gerenciamento de bateria, firmware que coordena entre hardware e software, e um módulo Bluetooth que permite aos usuários se comunicarem com sua scooter por meio de uma aplicação no smartphone. É neste úlitmo que foi encontrada a falha de segurança.

Idan rapidamente descobriu que ele poderia se ligar à scooter via Bluetooth sem ser solicitado a digitar uma password ou autenticar. A partir daí, ele poderia dar um passo além e instalar firmware na scooter sem que o sistema verifique se esse novo software era uma atualização oficial e certificado pela Xiaomi. Isso significa que um invasor pode facilmente colocar um malware em uma scooter, dando a si mesmo controle total sobre ele.

“Eu era capaz de controlar qualquer um dos recursos de scooter sem autenticação e instalar firmware malicioso”, diz Idan. “Um invasor pode travar de repente, ou acelerar uma pessoa no trânsito, ou qualquer que seja o pior cenário que você possa imaginar.”

Infelizmente, os problemas com a implementação do Bluetooth, especialmente os mecanismos de autenticação fracos ou ausentes, não são novidade em dispositivos da Internet de Coisas (IOT). Da mesma forma, “verificações de integridade” para confirmar a autenticidade e a confiabilidade das atualizações de software e firmware são frequentemente negligenciadas. Mas enquanto eles podem levar a todos os tipos de riscos reais de privacidade e segurança em geral, eles são obviamente especialmente problemáticos em dispositivos que podem colocar em risco a segurança física de um utilizador.

Em 2017, pesquisadores descobriram um conjunto semelhante de falhas nos hoverboards Segway MiniPro em 2017, mas a empresa, que pertence à fabricante chinesa de scooters Ninebot, trabalhou para corrigir os problemas. Zimperium está preocupado com o que vai acontecer com as descobertas, porque quando a empresa entrou em contato com a Xiaomi para divulgar os bugs, a fabricante de scooters disse que conhece o problema, mas que não tem capacidade para o corrigir, o que é muito preocupante.

Isso acontece porque, segundo a reposta da Xiaomi à Zimperium, o módulo bluetooth é fabricado por terceiros e não pela própria Xiaomi, o que faz com que dependem dessa empresa para que corrija o problema do seu modulo e só após isso é que poderão lançar uma atualização par a ascotter e corrigir o problema.

Enquanto este problema não estiver resolvido, as scooter M365 estão vulneráveis por quem tiver más intenções.

Por isso, é importante que a Xiaomi consiga corrigir rapidamente este problema, já que a Xiaomi é uma das fabricantes que vende muitas scooters e isto significa que há muitos utilizadores que podem te problemas devido a esta falha de segurança, principalmente se a demora na atualização continuar.

Artigos interessantes

A nova funcionalidade do Google Maps
Google
70 Visualizações
Google
70 Visualizações

A nova funcionalidade do Google Maps

Sandra Pacheco - 25 de Março de 2019

Esta nova funcionalidade irá destacar ainda mais o Google Maps dos concorrentes diretos. Falamos da “partilha de eventos”. Esta nova…

Huawei Mate 30: Kirin 985 deverá ser produzido em 7nm
Hardware
41 Visualizações
Hardware
41 Visualizações

Huawei Mate 30: Kirin 985 deverá ser produzido em 7nm

Bruno Peralta - 25 de Março de 2019

O próximo processador topo de gama da Huawei que deverá ter o nome de Kirin 985 pode se tornar o…

Xiaomi Mi A3 terá câmara frontal de 32MP e sensor de impressões digitais no ecrã
Telemóveis
9 Partilhas40 Visualizações
Telemóveis
9 Partilhas40 Visualizações

Xiaomi Mi A3 terá câmara frontal de 32MP e sensor de impressões digitais no ecrã

Bruno Peralta - 24 de Março de 2019

A Xiaomi é uma das principais fabricantes de equipamentos eletrónicos do momento, sendo que tem uma gama variada de produtos…

3 Comentários

  1. Bruno Peralta,

    boa tarde!

    Seu artigo nos mostra uma realidade interessante. E os carros que têm bluetoof podem ser acessados? Os carros elétricos que estão fabricando terão função contra este tipo de acesso?

    Responder
  2. Boa tarde!

    Os carros que têm bluetooth podem ser acessados? Os carros elétricos que estão fabricando terão função contra este tipo de acesso?

    Responder
    • Olá Adenio.
      Havendo ligações há sempre perigos, mas as proteções e a segurança também há.
      Neste caso, as proteções que há são muito fracas (ou quase nenhumas) e foram ultrapassadas facilmente, por isso o perigo.
      Já agora, o Bluetooth do automóveis é para o entertainment e não está relacionado diretamente com a condução. Portanto, os perigos não são comparáveis. (a não ser que tenha um Tesla, já que neste automóvel está tudo interligado).

      Continue a acompanhar-nos.

      Responder

Comente

O seu email não será publico