雅虎香港新聞 駭客找到方法「遙控」小米的 M365 電動滑板車(更新官方聲明)
小米自己沒有能力修復問題。
電動滑板車在我們這裡很罕見,但在國外卻是個愈來愈熱門的產品類別,而小米雖然進入市場不算早,但因有合作的共享滑板車廠商,因此在美國已有了不錯的發展。不過行動安全公司 Zimperium 發現,小米的 M365 電動滑板車(應該就是米家電動滑板車)的藍牙模組有個漏洞,讓駭客可以「遙控」滑板車的油門。
這個漏洞利用了藍牙模組與手機 App 間的連線,駭客不需特別的密碼或確認,就能直接連進 M365 的系統,而且當駭客上傳惡意軟體到機器上時,系統也不會確認軟體是否來自受信任的官方來源。這讓他們可以做到任意遙控滑板車的加減速,置騎乘者於極大的危險。在 Zimperium 向小米通報漏洞後,小米表示已經認知到問題的存在,並且正在與生態系中生產電動滑板車的廠商,合力解決問題當中。
在當下除了寄望兩方合作迅速把問題搞定之外,購買者似乎也沒有什麼更好的方法啊。
更正:內文中關於藍牙模組的部份。
更新:官方聲明如下:
小米已知悉小米米家電動滑板車可能存在漏洞,讓駭客能夠藉此惡意妨礙滑板車正常運作。當我們意識到這個漏洞後,已立即進行修復工作,並攔截所有未經授權的應用程式。小米的產品開發及安全團隊將盡快推出軟件更新(OTA, Over-the-Air)。
小米非常重視用戶與社群的寶貴意見,並致力做出相應改進以建造更好及安全的產品。
來源: Zimperium
經由: Engadget
