Otkriven veliki sigurnosni propust na električnim skuterima Xiaomija

Električni skuteri okupirali su ulice urbanih gradova i posebno su popularni u Kini, ali pronađen je način kako hakirati i njih, što znači da apsolutno nijedan uređaj koji se spaja na mrežu nije siguran od internetskih prijetnji. Ujedno, to je jako dobro upozorenje proizvođačima i korisnicima.

A zvijezda ove priče je Xiaomi, kineski proizvođač poznat po pametnim telefonima, a odnedavno i po električnim skuterima i romobilima. Da s njima postoji problem otkrio je stručnjak Rani Idan iz Zimperiuma u San Franciscu. Prezentirao je ranjivost skutera Xiaomi M365, koja potencijalnim hakerima omogućava upravljanje njima na daljinu. Dakle, nije riječ o bezazlenoj prijetnji.

Sama ranjivost nalazi se u dijelu sustava koji provjerava autentičnost vlasnika jer uopće nije potrebna lozinka da bi se ušlo u njega. Jer, iako lozinka treba za ulazak u aplikaciju, ona nije potrebna na samom skuteru jer on ne nadgleda autentifikaciju kao takvu pa sve naredbe mogu biti izvedene bez nje.

Bez provjere ili pristanka vlasnika, Idan je uspio zaključati M365 koristeći DoS (denial-of-service) napad te na taj način postavio temelje za instalaciju malwarea kojeg god želi. Naravno, nije to učinio već je o svemu obavijestio javnost, a u prvom redu proizvođača koji radi na zakrpama od 28. siječnja ove godine. Također, treba naglasiti i da je u skuter moguće "provaliti" s udaljenosti do stotinu metara.

U ovom slučaju korisnici čak ni nemaju mogućnost zaštititi se, žrtve su zbog greške proizvođača. Ali, sreća je da ipak postoji sve više stručnjaka kao Rani Idan, odnosno, sve više kompanija koje se bave otkrivanjem ranjivosti, tako da preventiva djeluje bolje nego ikad. Dobar je to znak jer Internet stvari (IoT) bi s dolaskom mobilnih mreža pete generacije (5G) ipak mogao imati sigurniji uzlet no što se mislilo ne tako davno...