Hackers podem ter acesso a scooter da Xiaomi e acelerá-la ou travá-la

As frotas de scooters elétricas que inundaram cidades são suficientemente alarmantes e em Lisboa até se tem falado muito sobre as desvantagens. Agora, acrescente preocupações com a cibersegurança à lista: pesquisadores da empresa de segurança móvel Zimperium alertam que o popular modelo de scooter M365 da Xiaomi tem um problema de segurança preocupante. A falha pode permitir que um invasor consiga aceder remotamente a qualquer uma das scooters para controlar coisas cruciais como, por exemplo, aceleração e travagem.

Rani Idan, diretor de pesquisa de software da Zimperium, diz que descobriu e conseguiu explorar a falha horas depois de avaliar a segurança do M365.Na sua análise descobriu que as scooters contêm três componentes de software: gerenciamento de bateria, firmware que coordena entre hardware e software, e um módulo Bluetooth que permite aos usuários se comunicarem com sua scooter por meio de uma aplicação no smartphone. É neste úlitmo que foi encontrada a falha de segurança.

Idan rapidamente descobriu que ele poderia se ligar à scooter via Bluetooth sem ser solicitado a digitar uma password ou autenticar. A partir daí, ele poderia dar um passo além e instalar firmware na scooter sem que o sistema verifique se esse novo software era uma atualização oficial e certificado pela Xiaomi. Isso significa que um invasor pode facilmente colocar um malware em uma scooter, dando a si mesmo controle total sobre ele.

“Eu era capaz de controlar qualquer um dos recursos de scooter sem autenticação e instalar firmware malicioso”, diz Idan. “Um invasor pode travar de repente, ou acelerar uma pessoa no trânsito, ou qualquer que seja o pior cenário que você possa imaginar.”

Infelizmente, os problemas com a implementação do Bluetooth, especialmente os mecanismos de autenticação fracos ou ausentes, não são novidade em dispositivos da Internet de Coisas (IOT). Da mesma forma, “verificações de integridade” para confirmar a autenticidade e a confiabilidade das atualizações de software e firmware são frequentemente negligenciadas. Mas enquanto eles podem levar a todos os tipos de riscos reais de privacidade e segurança em geral, eles são obviamente especialmente problemáticos em dispositivos que podem colocar em risco a segurança física de um utilizador.

Em 2017, pesquisadores descobriram um conjunto semelhante de falhas nos hoverboards Segway MiniPro em 2017, mas a empresa, que pertence à fabricante chinesa de scooters Ninebot, trabalhou para corrigir os problemas. Zimperium está preocupado com o que vai acontecer com as descobertas, porque quando a empresa entrou em contato com a Xiaomi para divulgar os bugs, a fabricante de scooters disse que conhece o problema, mas que não tem capacidade para o corrigir, o que é muito preocupante.

Isso acontece porque, segundo a reposta da Xiaomi à Zimperium, o módulo bluetooth é fabricado por terceiros e não pela própria Xiaomi, o que faz com que dependem dessa empresa para que corrija o problema do seu modulo e só após isso é que poderão lançar uma atualização par a ascotter e corrigir o problema.

Enquanto este problema não estiver resolvido, as scooter M365 estão vulneráveis por quem tiver más intenções.

Por isso, é importante que a Xiaomi consiga corrigir rapidamente este problema, já que a Xiaomi é uma das fabricantes que vende muitas scooters e isto significa que há muitos utilizadores que podem te problemas devido a esta falha de segurança, principalmente se a demora na atualização continuar.

3 COMENTÁRIOS

  1. Bruno Peralta,

    boa tarde!

    Seu artigo nos mostra uma realidade interessante. E os carros que têm bluetoof podem ser acessados? Os carros elétricos que estão fabricando terão função contra este tipo de acesso?

  2. Boa tarde!

    Os carros que têm bluetooth podem ser acessados? Os carros elétricos que estão fabricando terão função contra este tipo de acesso?

    • Olá Adenio.
      Havendo ligações há sempre perigos, mas as proteções e a segurança também há.
      Neste caso, as proteções que há são muito fracas (ou quase nenhumas) e foram ultrapassadas facilmente, por isso o perigo.
      Já agora, o Bluetooth do automóveis é para o entertainment e não está relacionado diretamente com a condução. Portanto, os perigos não são comparáveis. (a não ser que tenha um Tesla, já que neste automóvel está tudo interligado).

      Continue a acompanhar-nos.

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here