0
雷鋒網消息,2 月 13 日,據 CNET 報道,以色列移動安全公司 Zimperium 發布公告稱,其安全研究員在小米 M365 電動滑板車中發現了一個安全缺陷,黑客可對車輛實行完全的遠程控制,也可以讓該電動滑板車在使用過程中突然加速或剎車。
【 圖片來源:cnet 所有者:cnet 】
Zimperium認為,造成這一安全缺陷的原因是,M365 電動滑板車的密碼認證過程通過藍牙通信。Zimperium在一份聲明中指出:“所有命令可以在沒有密碼的情況下執行,密碼僅在應用程序端驗證,但滑板車本身不跟蹤身份驗證狀態。”
研究人員稱,他們還能在無需身份驗證的情況下與該設備的防盜系統、巡航控制和 ECO 模式交互,并更新其固件。
Zimperium 發布了一個概念驗證視頻,據視頻顯示,安全研究員用一個應用程序掃描附近的小米滑板車,并通過其防盜功能禁用了它們。 Zimperium稱,該應用程序可以在大約 328 英尺(100米)范圍內的任何 M365 上工作。
Zimperium 發現的該缺陷與 2017 年發現的 Segway 滑板漏洞相似。美國網絡安全公司 IOActive 發現,不用經過身份驗證,即可通過藍牙更新,手動向 Segway 應用程序發送命令,從而獲得對遠程控制板的完全遠程訪問。
Zimperium稱,已經向小米報告了這個漏洞,但小米并未立即回復。
雷鋒網編輯已與小米公關聯系求證此事,截至 2 月 13 日下午本文發布前尚未獲得回復。
via cnet
雷峰網版權文章,未經授權禁止轉載。詳情見轉載須知。
