El patinete eléctrico M365 de Xiaomi, un popular modelo utilizado por particulares pero también por firmas de alquiler como Bird, posee un grave agujero de seguridad que permite su manipulación remota por parte de terceros con grave peligro para la integridad del usuario. Así ha sido desvelado por la firma de seguridad informática Zimperium, que han publicado en YouTube una "prueba de contacto" donde un supuesto atacante manipula desde un móvil el funcionamiento del vehículo.
Según detallan los investigadores, el proceso comienza con un ataque de denegación de servicio que bloquea de forma remota el patinete, para a continuación instalar un paquete de malware con un nuevo firmware que introduce las funciones de control remoto. Una vez actualizado, el patinete queda en manos del atacante. El origen de la vulnerabilidad reside en el módulo Bluetooth utilizado y permite el manejo del patinete a distancias de hasta 100 metros.
Las herramientas necesarias para lanzar este tipo de ataques no han sido publicadas por razones de seguridad.
Zimperium asegura que el fallo fue reportado a Xiaomi para su parcheo, pero la compañía aún no ha actualizado el producto. Según The Verge, los investigadores no utilizaron la herramienta de Xiaomi para notificar este tipo de fallos, mientras que Zimperium ha proporcionado una copia del informe enviado a través del portal de seguridad de Xiaomi, donde el bug aparece descrito como "un problema conocido internamente".
Sea como sea, Zimperium se ha limitado a comunicar y explicar el fallo de forma superficial para concienciar a las partes involucradas (desde Xiaomi a los propios consumidores) del riesgo que implica el acceso inalámbrico a los controles básicos de un vehículo a motor, aunque sea para proporcionar funciones inicialmente benignas como el bloqueo antirrobo o el control de crucero.
Si bien Xiaomi es la marca más conocida de este patinete y en última instancia es la responsable del mantenimiento de su firmware, el producto en cuestión es fabricado por Segway-Ninebot, una sociedad conjunta china que también lo proporciona a firmas como Bird (hasta hace muy poco presente en Madrid). No está claro si los modelos utilizados por estas compañías también están afectados.
Según detallan los investigadores, el proceso comienza con un ataque de denegación de servicio que bloquea de forma remota el patinete, para a continuación instalar un paquete de malware con un nuevo firmware que introduce las funciones de control remoto. Una vez actualizado, el patinete queda en manos del atacante. El origen de la vulnerabilidad reside en el módulo Bluetooth utilizado y permite el manejo del patinete a distancias de hasta 100 metros.
Las herramientas necesarias para lanzar este tipo de ataques no han sido publicadas por razones de seguridad.
Zimperium asegura que el fallo fue reportado a Xiaomi para su parcheo, pero la compañía aún no ha actualizado el producto. Según The Verge, los investigadores no utilizaron la herramienta de Xiaomi para notificar este tipo de fallos, mientras que Zimperium ha proporcionado una copia del informe enviado a través del portal de seguridad de Xiaomi, donde el bug aparece descrito como "un problema conocido internamente".
Sea como sea, Zimperium se ha limitado a comunicar y explicar el fallo de forma superficial para concienciar a las partes involucradas (desde Xiaomi a los propios consumidores) del riesgo que implica el acceso inalámbrico a los controles básicos de un vehículo a motor, aunque sea para proporcionar funciones inicialmente benignas como el bloqueo antirrobo o el control de crucero.
Si bien Xiaomi es la marca más conocida de este patinete y en última instancia es la responsable del mantenimiento de su firmware, el producto en cuestión es fabricado por Segway-Ninebot, una sociedad conjunta china que también lo proporciona a firmas como Bird (hasta hace muy poco presente en Madrid). No está claro si los modelos utilizados por estas compañías también están afectados.
Ya me veo los coches Teslas hackeados
Es el vídeo de demostración creado por Zimperium. Lógicamente hay coordinación entre partes, no es plan de que se dé un castañazo de verdad.
El día menos pensado nos hackean el cepillo de dientes y nos dejan las encías en carne viva [+risas]
Pues entonces no entiendo que lo hagan en un semáforo [beer]
Explicado: para que puedan vincular la app a tu patín se hace por bluetooth (nada de internet en esto), por tanto el atacante tiene que estar cerca de ti (en algunas webs hablan de 20 metros, en mis pruebas con varios teléfonos bastante menos, concretamente menos de 10 metros con línea de visión directa entre móvil y patín), tienes que estar con el patín encendido pero parado y en ese momento el atacante podrá conectar. Una vez conectado al patín, siempre que siga en el rango de alcance, pueden activar el bloqueo en cualquier momento. Si vas en marcha el patín no hace nada, pero cuando te paras estará bloqueado. Si estás parado el patín no arrancará. No se puede cambiar la velocidad de ningún modo. No se puede frenar ni acelerar desde el dispositivo del atacante. Como mucho se podría cambiar la "agresividad" del freno regenerativo, que contempla varios niveles en los ajustes del dispositivo.
Es un fallo de seguridad? Sí. Es grave? Desde mi punto de vista no, pero entiendo que puede ser molesto. Pero sabéis lo mejor de todo? Que desde cierto punto de vista esto es algo necesario. Este patín está fabricado por ninebot, que fabrica los patines de segway, de lime, de bird, de xiaomi, etc. Estos patinetes no pueden mantener el bluetooth "cerrado". Sería gracioso si yo alquilo un patín, le pongo contraseña y nadie más lo puede usar. El problema es conocido y lo han bloqueado en la medida de lo posible, por eso no se puede hacer nada si el patín está en marcha. Pero en realidad lo peor que puede pasar es: alguien te bloquea y con la misma app lo desbloqueas y sigues tu camino.
Escribo esto como desarrollador vinculado a aplicaciones móviles, a proyectos con Arduino (y nodemcu, esp, etc.), a proyectos que usan BLE y como usuario de patinete Xiaomi. NO disculpo a Xiaomi, pero tampoco es como lo pinta el titular.
Edit: Aclaro que el titular, si bien no es un reflejo fiel de lo que ocurre, el problema está en el propio artículo de la fuente y no en EOL, pues la fuente afirma que sí es posible acelerar y frenar a distancia, aunque no aporta pruebas de ello.