Электрические самокаты захватывают города, но оказалось, что они не так уж надежны. В программном коде популярной модели самоката Xiaomi M365 была обнаружена ошибка, из-за которой злоумышленники могли резко разгонять или тормозить самокаты без ведома их владельца, пишет Wired. Это довольно опасно, учитывая, что эти устройства могут развивать скорость до 40-50 км/ч.
Баг обнаружили специалисты из компании Zimperium, специализирующейся на кибербезопасности.
Директор по исследованиям программного обеспечения Zimperium Рани Идан говорит, что такие скутеры содержат три программных компонента: управление батареей, встроенное программное обеспечение и модуль Bluetooth, который позволяет пользователям общаться со своим скутером через приложение для смартфона. Именно этот модуль и делает устройства крайне уязвимыми.
Идан обнаружил, что он может подключиться к самокату через Bluetooth без запроса пароля или других форм аутентификации. Будь он злоумышленником, этот баг дал бы ему возможность установить прошивку на скутере, не предоставив никакой верификации, что новое программное обеспечение является официальным обновлением Xiaomi. Идану удалось разместить вредоносное ПО на скутере, получив полный контроль над системой управления самокатом. Однако когда Zimperium связалась с Xiaomi, чтобы сообщить об ошибках, производитель электросамокатов ответил, что знает о проблеме, но не может самостоятельно устранить ее.
В Zimperium предполагают, что это связано с тем, что Xiaomi использует в самокатах модули реализации Bluetooth от стороннего разработчика, а не программирует их самостоятельно.
Исследователь Zimperium отметил, что проблемы с Bluetooth довольно распространены в устройствах интернета вещей. Его команда обнаружила аналогичные проблемы в китайских ховербордах Segway MiniPro в 2017 году.
Проблема не в самокате как таковом (аналогичная уязвимость может быть, например, в автомобиле), а в повсеместно применяемой технологии Bluetooth, качество реализации которой при этом очень низкое, считает технический директор Qrator Labs Артем Гавриченков. «Реализация протокола Bluetooth даже в телефонах имеет массу проблем. Что уж говорить о других подключаемых устройствах интернета вещей — браслетах, часах, кофеварках, самокатах, холодильниках. Именно в этом классе устройств можно ожидать появления действительно серьезных проблем с безопасностью, — говорит он. — Беспроводная технология Bluetooth используется для связи цифровых устройств: например, подключения наушников к телефону, телефона — к компьютеру или, как в данном случае, телефона к самокату. За последние пару лет в протоколе Bluetooth и его реализациях был найден целый ряд серьезных «дыр», — например, в Bluetooth-драйвере на Android-телефонах».
Представитель компании Xiaomi дал редакции Forbes следующий комментарий: «Xiaomi известно об уязвимости самоката Mi Electric Scooter, которую хакеры умышленно могут использовать для управления чужим самокатом. Как только компания узнала о проблеме, началась работа над ее устранением, а также удалением всех неоригинальных приложений. В данный момент служба безопасности и группа разработчиков программного продукта осуществляют работу над обновлением, которое пользователи смогут получить по воздуху в ближайшее время. Xiaomi ценит обратную связь с сообществом безопасности и стремится постоянно совершенствовать работу на основе отзывов, чтобы создавать безопасные продукты и постоянно улучшать их качество».
В 2017 году мировой рынок электросамокатов оценивали в $630 млн. На тот момент он составлял 8% от всего рынка двухколесного электротранспорта без учета электробайков. Но согласно прогнозам Grand View Research, доля электросамокатов к 2024 году вырастет до 14,5%.
В Москве электросамокаты стали довольно популярны в прошлом году, однако Xiaomi официальную статистику продаж в России не раскрывает.