Segway / 小米平衡車被爆漏洞百出：可隨時遙控停機、GPS 資訊全都露

雖然平衡車在去年大流行的時候有著許多災難般的起火事件，不過被小米與 Ninebot 接手的平衡車界大廠 Segway，旗下的產品倒沒發生過什麼大事件。直到最近，在資安顧問公司 IOActive 的揭露下，才知道 Segway Ninebot Mini Pro（國際版的小米九號平衡車）其實曾是款資安漏洞百出的產品，將可輕易地被有心人士破解完全控制，改變設定、速度、方向或甚至瞬間讓 Mini Pro 失去動力等。簡單的說，就是可以完全透過藍牙遙控的方式掌控你腳下平衡車的一切動作。

IOActive 指出，雖說現有法規針對平衡車的電池等機械結構方面都有所規範，但對於內在韌體以及資安的問題則是沒有太多的著墨。而這樣的結果，就是發售時並沒有對資安做太多加強的 Mini Pro，在專家地手中就被輕易地以逆向工程破解，可在使用者未察覺的狀態下，刷入惡意的韌體來取得平衡車的操控權，甚至獲取使用者手機提供給平衡車做為防盜用途的 GPS 位置資訊。IOActive 表示，這款產品先是都採用同樣的認證密碼，針對原廠韌體的部分也沒有保密的認證機制，所以才能夠讓有心人士可以輕鬆破解並且取得控制。

對此，他們則是建議官方採用藍牙的認證協定，並儘速為韌體提供加密機制，也表示應該要把位置資訊予以隱藏才是正道。而這樣的建議也很快地在數個月之前被官方給採納，並且於近期的新韌體中修正了大部分的問題。對使用者這邊，IOActive 則是建議盡量少用不必要的遙控功能並安裝最新的官方韌體更新。是說，其實平衡車的漏洞問題也不是第一天被人爆出了，只希望在大公司的指正之後，官方真的可以為這些產品提供更完善的資安保護，否則要是騎著 Segway 出了什麼問題，可能責任就很難釐清了啊。

來源: IOActive

經由: Engadget, CNet