小米滑板車M365被爆含有遠端攻擊漏洞

美國行動安全業者Zimperium揭露，小米科技旗下的米家電動滑板車含有遠端攻擊漏洞，將允許駭客自遠端鎖住滑板車，或是無預警地將滑板車剎車或加速。

這款含有漏洞的滑板車型號為Xiaomi M365，它是台可摺疊的電動滑板車，最高時速為每小時25公里，售價1,999元人民幣（約9,210元新台幣），在2017年曾獲得全球多項知名設計獎的肯定。

Zimperium平台研究總監Rani Idan說明，米家電動滑板車允許使用者透過程式與藍牙來操控它的功能，諸如防盜系統、巡航定速、環保模式，或是用來更新韌體等，且每台滑板車都受到密碼的保護。

然而，Idan卻發現，滑板車的認證程序並未正確地導入密碼機制，讓密碼只於應用程式端驗證，滑板車本身卻未跟上其驗證狀態。根據Idan向Wired的說明，當他們以藍牙存取電動滑板車時，並未被要求輸入密碼或執行其它認證，這使得他們得以執行所有功能，包括植入惡意韌體。

Zimperium已打造一概念性驗證程式，能夠以手機遠端啟動防盜系統，鎖住附近的米家電動滑板車，甚至可鎖住遠在100米外的滑板車，並已釋出供研究人員評估，此外，Zimperium也已成功開發出可用來加速滑板車的惡意韌體，但為安全考量而不準備公開。

小米在今年1月底收到Zimperium通知時，透露內部已得知此一問題，但這是個與第三方業者合作的產品，小米正嘗試與對方討論解決方案。

Idan則說，此一安全漏洞仍然需要小米或其合作對象負責修補，使用者端並無輕易修復之道。