雲端電動滑板車BLE設計存風險，預設金鑰恐解鎖所有車輛

一名資安研究人員近日揭露，一款雲端連線電動滑板車在低功耗藍牙（Bluetooth Low Energy，BLE）通訊設計上，存在嚴重安全缺陷，攻擊者可利用寫死在韌體與行動應用程式中的預設主控金鑰，直接解鎖並控制所有同型號車輛。由於該產品製造商已停止營運，相關漏洞至今仍無官方修補，突顯物聯網裝置在產品生命週期末期所面臨的資安風險。

預設金鑰未更換，所有設備共用同一把「鑰匙」

揭露此事的是愛沙尼亞資安研究人員Rasmus Moorats，他在部落格中分享自己對電動滑板車進行逆向工程的過程。研究對象為主打雲端管理與手機App解鎖的電動滑板車品牌Äike，其設計透過BLE與手機App通訊，執行解鎖、上鎖等控制指令。

Moorats在分析Android版App後發現，應用程式內嵌了一組用於BLE驗證的主控金鑰（master key），且該金鑰並非每臺裝置唯一，而是所有車輛共用同一組預設值。他進一步比對BLE通訊流程後確認，只要取得這把金鑰，便能在藍牙範圍內直接向車輛下達控制指令，完全不需要登入雲端帳號或通過額外驗證。

從App逆向到PoC，數分鐘即可重現攻擊

技術分析顯示，研究人員先將Android App反編譯，並對其使用的位元組碼（ bytecode）進行逆向，找出負責BLE驗證與加解密流程的程式邏輯。隨後，他依照觀察到的通訊格式，自行撰寫Python腳本，成功在實體環境中重現解鎖流程。

在這個概念驗證（PoC）中，只要攻擊者位於車輛藍牙訊號範圍內，便可利用該腳本發送正確格式的BLE封包，直接解除車輛鎖定狀態。研究人員指出，這類設計等同於把所有設備的「萬用鑰匙」直接放在用戶端應用程式中，一旦被逆向，整個產品線的安全性便形同失守。

廠商結束營運，漏洞修補陷入真空

更棘手的是，Äike公司已結束營運，相關雲端服務與產品維護也隨之中止。Moorats在文章中提到，部分硬體與BLE模組採用第三方供應商的SDK，該SDK本身提供了預設金鑰範例，但理應由產品開發商在量產前更換為裝置專屬金鑰。最終未落實這項基本安全措施，才導致漏洞產生。

在缺乏原廠支援的情況下，使用者幾乎無法透過更新來降低風險，只能仰賴自行停用藍牙功能或避免在公共場合使用等權宜作法。

過去已有前例：BLE控制弱點反覆出現

回顧過去資安研究，電動滑板車的藍牙低功耗（BLE）控制弱點並非首次出現。早在2019年，行動裝置資安業者Zimperium就曾揭露，Xiaomi電動滑板車M365的BLE密碼驗證在裝置端未被正確使用，使駭客可在藍牙範圍內執行未經授權命令，涵蓋鎖車、加速等操作，威脅行駛安全。

類似的安全問題，也曾出現在Segway-Ninebot產品上。資安研究公司IOActive於2017年發布技術報告指出，Segway MiniPro在藍牙通訊與韌體更新機制上，存在多項設計弱點，可能讓攻擊者在未經授權的情況下，擅自變更裝置設定或取得控制權。

「孤兒裝置」成為資安盲點，風險不會隨著產品退場而消失

英國資安顧問公司NCC Group過去在針對電動滑板車安全性的研究中指出，多數智慧交通裝置在藍牙低功耗（BLE）通訊與裝置身分驗證設計上仍存在不足，常見問題包括缺乏有效的加密機制或未採用裝置專屬的藍牙憑證，可能使攻擊者有機會繞過基本驗證流程。

類似觀點也出現在美國國家標準與技術研究院（NIST）發布的物聯網裝置資安指引中。NIST在SP 800-213A與NISTIR 8259系列文件指出，IoT裝置的安全設計應納入整個產品生命週期的考量，涵蓋身分驗證、加密通訊、金鑰管理與安全更新等基本能力。相關指引同時提醒，製造商與採購單位在規畫裝置更新與維護機制時，應評估產品停止支援後的安全狀態，避免裝置在缺乏修補與維運的情況下，仍持續保有完整控制能力，形成長期存在的潛在風險。