美国行动安全业者Zimperium揭露,小米科技旗下的米家电动滑板车含有远程攻击漏洞,将允许黑客自远程锁住滑板车,或是无预警地将滑板车剎车或加速。这款含有漏洞的滑板车型号为Xiaomi M365,它是台可折迭的电动滑板车,最高时速为每小时25公里,售价1,999元人民币(约9,210元新台币),在2017年曾获得全球多项知名设计奖的肯定。
Zimperium平台研究总监Rani Idan说明,米家电动滑板车允许用户透过程序与蓝牙来操控它的功能,诸如防盗系统、巡航定速、环保模式,或是用来更新韧体等,且每台滑板车都受到密码的保护。然而,Idan却发现,滑板车的认证程序并未正确地导入密码机制,让密码只于应用程序端验证,滑板车本身却未跟上其验证状态。根据Idan向Wired的说明,当他们以蓝牙存取电动滑板车时,并未被要求输入密码或执行其它认证,这使得他们得以执行所有功能,包括植入恶意韧体。Zimperium已打造一概念性验证程序,能够以手机远程启动防盗系统,锁住附近的米家电动滑板车,甚至可锁住远在100米外的滑板车,并已释出供研究人员评估,此外,Zimperium也已成功开发出可用来加速滑板车的恶意韧体,但为安全考虑而不准备公开。小米在今年1月底收到Zimperium通知时,透露内部已得知此一问题,但这是个与第三方业者合作的产品,小米正尝试与对方讨论解决方案。Idan则说,此一安全漏洞仍然需要小米或其合作对象负责修补,用户端并无轻易修复之道。内文来源:http://www.cafes.org.tw/info.asp