圖片來源: 

小米科技

美國行動安全業者Zimperium揭露,小米科技旗下的米家電動滑板車含有遠端攻擊漏洞,將允許駭客自遠端鎖住滑板車,或是無預警地將滑板車剎車或加速。

這款含有漏洞的滑板車型號為Xiaomi M365,它是台可摺疊的電動滑板車,最高時速為每小時25公里,售價1,999元人民幣(約9,210元新台幣),在2017年曾獲得全球多項知名設計獎的肯定。

Zimperium平台研究總監Rani Idan說明,米家電動滑板車允許使用者透過程式與藍牙來操控它的功能,諸如防盜系統、巡航定速、環保模式,或是用來更新韌體等,且每台滑板車都受到密碼的保護。

然而,Idan卻發現,滑板車的認證程序並未正確地導入密碼機制,讓密碼只於應用程式端驗證,滑板車本身卻未跟上其驗證狀態。根據Idan向Wired的說明,當他們以藍牙存取電動滑板車時,並未被要求輸入密碼或執行其它認證,這使得他們得以執行所有功能,包括植入惡意韌體。

Zimperium已打造一概念性驗證程式,能夠以手機遠端啟動防盜系統,鎖住附近的米家電動滑板車,甚至可鎖住遠在100米外的滑板車,並已釋出供研究人員評估,此外,Zimperium也已成功開發出可用來加速滑板車的惡意韌體,但為安全考量而不準備公開。

小米在今年1月底收到Zimperium通知時,透露內部已得知此一問題,但這是個與第三方業者合作的產品,小米正嘗試與對方討論解決方案。

Idan則說,此一安全漏洞仍然需要小米或其合作對象負責修補,使用者端並無輕易修復之道。


Advertisement

更多 iThome相關內容