Scooter Xiaomi M365 Dapat Diretas untuk Mempercepat atau Berhenti


Armada skuter listrik yang telah membanjiri kota sudah cukup mengkhawatirkan. Sekarang tambahkan kekhawatiran keamanan siber ke dalam daftar: Para peneliti dari perusahaan keamanan seluler Zimperium memperingatkan bahwa model skuter M365 populer Xiaomi memiliki bug yang mengkhawatirkan. Cacat ini memungkinkan penyerang untuk mengambil alih skuter dari jarak jauh untuk mengendalikan hal-hal penting seperti, ahem, akselerasi dan pengereman.

Rani Idan, direktur penelitian perangkat lunak Zimperium, mengatakan dia menemukan dan mampu mengeksploitasi kelemahan dalam beberapa jam setelah menilai keamanan M365. Analisisnya menemukan bahwa skuter berisi tiga komponen perangkat lunak: manajemen baterai, firmware yang mengkoordinasikan antara perangkat keras dan perangkat lunak, dan modul Bluetooth yang memungkinkan pengguna berkomunikasi dengan skuter mereka melalui aplikasi smartphone. Yang terakhir meninggalkan perangkat terkena.

Idan dengan cepat menemukan bahwa ia dapat terhubung ke skuter melalui Bluetooth tanpa diminta untuk memasukkan kata sandi atau mengotentikasi. Dari sana, dia bisa melangkah lebih jauh dan menginstal firmware pada skuter tanpa sistem memeriksa apakah perangkat lunak baru ini adalah pembaruan resmi Xiaomi yang tepercaya. Ini berarti bahwa seorang penyerang dapat dengan mudah menempatkan malware pada skuter, memberikan perintah penuh padanya.

“Saya bisa mengendalikan semua fitur skuter tanpa autentikasi dan menginstal firmware jahat,” kata Idan. "Seorang penyerang bisa mengerem tiba-tiba, atau mempercepat seseorang ke lalu lintas, atau apa pun skenario terburuk yang bisa Anda bayangkan."

Sayangnya, masalah dengan implementasi Bluetooth, terutama mekanisme otentikasi yang lemah atau hilang, bukanlah hal baru di perangkat Internet of Things. Demikian pula, "pemeriksaan integritas" untuk mengonfirmasi keaslian dan kepercayaan perangkat lunak dan pembaruan firmware sering diabaikan. Tetapi sementara mereka dapat menyebabkan semua jenis privasi nyata dan risiko keamanan secara umum, mereka jelas sangat bermasalah dalam perangkat yang dapat membahayakan keselamatan fisik pengguna.

"" Saya bisa mengendalikan semua fitur skuter tanpa autentikasi. "

Rani Idan, Zimperium

Para peneliti menemukan serangkaian kekurangan serupa di hoverboards Segway MiniPro pada tahun 2017, tetapi perusahaan, yang dimiliki oleh pembuat skuter Cina Ninebot, bekerja untuk memperbaiki masalah tersebut. Zimperium prihatin tentang apa yang akan terjadi dengan temuan Idan, karena ketika perusahaan menghubungi Xiaomi untuk mengungkapkan bug, pembuat skuter mengatakan mereka mengetahui masalah tersebut dan tidak memiliki kemampuan untuk memperbaikinya sendiri.

Ini rupanya karena Xiaomi sumber modul implementasi Bluetooth dari pengembang pihak ketiga lain, daripada pengkodean di rumah. Xiaomi tidak menanggapi beberapa permintaan komentar dari WIRED. Tetapi perusahaan mengatakan kepada Zimperium bahwa, “Ini adalah masalah yang diketahui secara internal. Masalah ini telah dipublikasikan. Karena ini adalah produk kerja sama pihak ketiga, kami juga mencoba untuk mengkomunikasikan solusi satu sama lain. ”

Sementara itu, skuter M365 rentan terhadap berbagai serangan pengambilalihan. Aplikasi pengguna yang menghubungkan ke skuter memang menawarkan opsi untuk mengatur kata sandi untuk mengakses perangkat individu. Tetapi ketika Idan membuat aplikasi bukti-konsep Android dan iOS untuk menguji kelemahannya, ia menemukan bahwa sistem itu tidak memerlukan koneksi Bluetooth dari luar untuk mengautentikasi bahkan ketika kata sandi telah disiapkan di aplikasi resmi.

Zimperium mengambil langkah kontroversial yang mungkin menerbitkan versi Android dari bukti konsep ini dalam upaya untuk membuktikan urgensi masalah, dan memperingatkan sebanyak mungkin orang. Kepala pejabat teknologi Zimperium, John Michelsen, berpendapat bahwa ini adalah satu-satunya peneliti keamanan yang harus memotivasi akuntabilitas di perusahaan IoT yang tidak responsif dan produsen elektronik pada umumnya.

Skuter Xiaomi M365 adalah pilihan konsumen yang populer, dan bahkan telah digunakan oleh perusahaan berbagi perjalanan seperti Lyft dan Bird service khusus skuter. Versi yang disesuaikan dari M365 adalah model skuter pertama Bird, tetapi perusahaan sudah mulai menghapusnya secara bertahap yang tidak terkait dengan penelitian ini.

“Perangkat IoT ada di mana-mana — di ruang pribadi kita, menyimpan data kita yang paling sensitif, dan dalam rutinitas harian kita,” kata Idan. "Anda mungkin berpikir perangkat itu akan menerapkan perlindungan keamanan terbaik, tapi sayangnya itu tidak selalu terjadi."

Mengingat risiko potensial bagi pengguna, sangat penting bagi Xiaomi untuk menanggapi penelitian dan menemukan cara untuk mengeluarkan perlindungan Bluetooth yang lebih kuat. Sementara itu, tetap terapkan pembaruan resmi dan, seperti biasa, kenakan helm.


Lebih Banyak Kisah KABEL