Xiaomi’nin Elektrikli Scooter’ında Keşfedilen Zafiyet ile Uzaktan Komut Çalıştırılabiliyor

Xiaomi’nin Elektrikli Scooter’ında Keşfedilen Zafiyet ile Uzaktan Komut Çalıştırılabiliyor

Akıllı cihazlar kesinlikle hayatlarımızı daha kolay, daha hızlı ve daha verimli hale getirir, ancak ne yazık ki güvensiz bir akıllı cihaz da gününüzü mahvedebilir veya bazen hayatınızın en kötü kabusuna dönüşebilir.

Elektrikli scooter sürücüsü iseniz, kendiniz için endişelenmeniz gerekir.

Xiaomi’nin elektrikli Scooter’ında keşfedilen açıkta Scooter’da sistem tarafından bir kimlik doğrulama yapılmadığı, tüm kontrollerin kullanıcı taraflı yapıldığı keşfedildi. Bu yüzden kimlik doğrulaması yapılmadan Scooter üzerinde her türlü komutu uzaktan çalıştırabilmek mümkün.

Mobil güvenlik firması Zimperium’dan araştırmacılar, Xiaomi tarafından M365 Folding Electric Scooter’da kullanımı kolay ama ciddi bir güvenlik açığı keşfettiklerini söyledi.

Xiaomi e-Scooter önemli bir pazar payına sahip ve aynı zamanda bazı modifikasyonlarla farklı markalar tarafından kullanılıyor.

Xiaomi M365 Elektrikli Scooter, şifre korumalı Bluetooth iletişimi kullanan ve sürücülerin, şifre değiştirme, hırsızlık önleme sistemi, seyir kontrolü, eko modu, güncelleme, güvenlik ve güvenlik gibi birçok özellik için uzaktan scooterları ile güvenli bir şekilde etkileşimde bulunmalarını sağlayan bir mobil uygulama ile birlikte geliyor. scooter ürün yazılımı ve diğer gerçek zamanlı sürüş istatistiklerini görüntüleme.

Bununla birlikte, araştırmacılar, scooter sonunda parolanın yanlış doğrulanması nedeniyle, 100 metre uzaklıktaki uzaktaki bir saldırganın, kullanıcı tanımlı parola gerektirmeden, hedeflenen bir araca Bluetooth üzerinden kimliği doğrulanmamış komutlar gönderebileceğini tespit etti.

Zimperium zLabs araştırmacısı Rani Idan, “Araştırmamız sırasında, scooter ile kimlik doğrulama işleminin bir parçası olarak şifrenin doğru kullanılmadığını ve tüm komutların şifre olmadan uygulanabileceğini belirledik”  diyor . Hacker Haberleri.

“Parola yalnızca uygulama tarafında doğrulanır, ancak scooter’ın kendisi de doğrulama durumunu izlemez.”

Bir saldırgan bu sorunu kullanarak aşağıdaki saldırı senaryolarını gerçekleştirebilir:

  • Scooterları Kilitleme – Bir tür hizmet reddi saldırısı, saldırganın M365 motorunu aniden trafiğin ortasında kilitleyebilmesi.
  • Kötü Amaçlı Yazılım Dağıtma – Uygulamaya binicilerin scooter cihaz yazılımını uzaktan yükseltmelerine izin verdiğinden, saldırgan aynı zamanda scooter üzerinde tam kontrol sahibi olmak için kötü amaçlı üretici yazılımını zorlayabilir.
  • Hedeflenen Saldırı [Fren / Hızlanma] – Uzak saldırganlar bireysel bir sürücüyü bile hedefleyebilir ve scooter’ın aniden fren yapmasına veya hızlanmasına neden olabilir.


Related Posts

Facebook Comments