Исследователи обнаружили в электросамокатах Xiaomi уязвимость, позволяющую удаленно (до 100 м) захватить контроль над транспортным средством

Исследователи обнаружили в электросамокатах Xiaomi уязвимость, позволяющую удаленно (до 100 м) захватить контроль над транспортным средством
Специализирующаяся на вопросах компьютерной безопасности американская компания Zimperium выявила серьезную уязвимость в электрических самокатах Xiaomi. Как утверждается, ошибка, связанная с управлением транспортным средством посредством Bluetooth, может быть использована злоумышленниками для удаленного выполнения произвольного кода без аутентификации и перехвата управления транспортным средством. Сразу оговорим, что поскольку речь о Bluetooth, для проведения успешной атаки расстояние между злоумышленником и целью не должно превышать 100 метров. С другой стороны, этого вполне достаточно, чтобы считать такой взлом удаленным.Уязвимость позволяет злоумышленнику в обход приложения выполнить произвольный код без аутентификации на стороне устройства. Для эксперимента специалисты Zimperium взяли модель электросамоката Xiaomi M365, в которой через фирменное ПО и Bluetooth пользователь может управлять противоугонной системой, круиз-контролем, эко-режимом и обновлением прошивки. Учитывая, что проблема заключается именно в управлении посредством фирменного ПО и Bluetooth, весьма вероятно, что другие модели Xiaomi  тоже уязвимы. Сотрудники Zimperium написали рабочий эксплоит и продемонстрировали успешную атаку с его использованием на практике. В качестве доказательства они записали и опубликовали видео с демонстрацией удаленного захвата управления над «случайными» моделями Xiaomi M365 на улице. В одном из случаев самокат по команде атакующего начинает движение по проезжей части на красный сигнал светофора, во втором — злоумышленник блокирует самокат посреди дороги.Zimperium проинформировали Xiaomi о существовании уязвимости. В ответ Xiaomi  выразила благодарность, отметив, что в курсе ситуации и занимаются устранение проблемы. Что интересно, Zimperium придали истории публичную огласку, хотя сама уязвимость пока не устранена.Источник: Zimperium 
Stfw.Ru
Читайте также


Оставить комментарий
Имя:  

Комментарий:

Примечание: При комментировании материала просим соблюдать законы Российской Федерации. Пожалуйста, воздержитесь от оскорблений и токсичного поведения.

Сводка событий

14:02 Представлен Vivo V15 Pro с выдвижной фронталкой


14:02 На MWC 2019 будет анонсирован смартфон Lenovo Z6 Pro


14:02 Xiaomi Mi 9 SE получил чип Qualcomm Snapdragon 712


12:02 Смартфон Xiaomi Mi 9 — новый лидер рейтинга DxOMark по качеству видео


12:02 Складывающийся смартфон с гибким экраном Samsung Galaxy Fold красуется на первых официальных изображениях перед сегодняшним анонсом


12:02 Новые смартфоны-середнячки LG K40, K50 и Q60 защищены по стандарту MIL-STD-810G


12:02 YouTube попал в скандал: популярный видеосервис обвиняют в содействии сексуальной эксплуатации детей


12:02 Google дразнит анонсом таинственного продукта на грядущей игровой выставке GDC 2019


12:02 Популярные менеджеры паролей для Windows 10 оказались уязвимы


12:02 Реальные доходы россиян в январе снизились на 1,3%


12:02 Генерал-полковник Шаманов: Горбачева надо судить


12:02 Twitter годами хранит удаленные личные сообщения пользователей


12:02 Известны характеристики Xiaomi Redmi 7


События из мира ИТ