¡Alerta! Los patinetes eléctricos de Xiaomi, hackeados
Los patinetes eléctricos ya están poblando las calles de muchas grandes ciudades. Pero mientras que algunos están preocupados por los peligros de ser atropellados por un vehículo de este tipo, existe otro peligro diferente...
Un vídeo publicado por la empresa de seguridad Zimperium nos muestra el problema. Con esto, los investigadores quieren advertir de un error crítico en el popular scooter eléctrico M365 de Xiaomi, que también es utilizado por compañías de alquiler como Lyft o Bird. Esto permite a los atacantes remotos tomar el control del scooter y luego influir en funciones claves como la aceleración y la desaceleración.
Los expertos utilizan la estructura de software del e-scooter. Consta de tres puntos básicos: la gestión de la batería, el firmware para la comunicación entre el software y el hardware, y un módulo Bluetooth. A través de este último, los propietarios pueden "comunicarse" con el Xiaomi M365 a través del smartphone.
Rani Idan, Director de Investigación de Software de Zimperium, descubrió que se podía conectar al scooter sin que se le pidiera una contraseña ni nada. A continuación, se puede instalar un nuevo software en pocos segundos, que no comprueba si procede realmente del fabricante. Esto significa que los atacantes pueden instalar fácilmente el malware y obtener el control total del scooter.
No se puede corregir el error (actualmente)
Podemos imaginar los peores escenarios, en los que los usuarios del patinete eléctrico son "guiados" hacia el tráfico o se frenan repentinamente. Por supuesto, con un scooter así, es más fácil saltar para evitar que ocurran cosas peores. Pero es posible que no reacciones lo suficientemente rápido debido a la sorpresa o que el salto repentino cause un accidente.
Según Zimperium, informaron a Xiaomi sobre el problema y obtuvieron la respuesta de que Xiaomi ya era consciente del problema, pero que no puede resolverlo en este momento. La razón de esto podría ser que el fabricante obtiene la interfaz Bluetooth de un tercero y no la programa él mismo.
Ahora, Xiaomi nos ha enviado un statement oficial en el que asegura de nuevo que ya estaba al tanto del error pero que trabajan incansablemente para solucionarlo:
"Xiaomi es consciente de la vulnerabilidad que los hackers con intenciones maliciosas pueden explotar para controlar Mi Electric Scooter. Tan pronto como nos enteramos de esta vulnerabilidad, hemos estado trabajando para solucionarlo y eliminando todas las aplicaciones no autorizadas. Una actualización de OTA estará disponible a más tardar el 15 de marzo. Xiaomi valora los comentarios de la comunidad sobre la seguridad, y estamos comprometidos a mejorar constantemente en base a todos los comentarios para construir productos mejores y más seguros."
Los patinetes eléctricos están en aumento... y su riesgo
No es la primera vez que uno de los llamados vehículos eléctricos ligeros puede ser pirateado. En 2017, los investigadores encontraron una vulnerabilidad crítica en los Segway MiniPro. Y ciertamente no será el último descuido que se cuela en los vehículos.
Si pensamos en el futuro, da un poco de miedo. Los pequeños e-scooters están en marcha y no pasará mucho tiempo antes de que, por ejemplo, los pequeños fabricantes se abran camino en el mercado con un software mal diseñado y ensamblado rápidamente, lo que representa un riesgo potencial. Es urgente que se establezcan directrices para garantizar una mayor seguridad.
¿Utilizas un patinete eléctrico?
Vía: Wired