最新交通運輸文章

Image credit:

骇客找到方法「遥控」小米的 M365 电动滑板车(更新官方声明)

然而小米自己没有能力修复问题。

Andy Yang
2019 年 2 月 15 日, 下午 05:01
电动滑板车不仅是我们这里,在国外也是个愈来愈热门的产品类别,而小米虽然进入市场不算早,但因有合作的共享滑板车厂商,因此在美国已有了不错的发展。不过移动安全公司 Zimperium 发现,小米的 M365 电动滑板车(应该就是米家电动滑板车)的蓝牙模组有个漏洞,让骇客可以「遥控」滑板车的油门。

这个漏洞利用了蓝牙模组与手机 App 间的连线,骇客不需特别的密码或确认,就能直接连进 M365 的系统,而且当骇客上传恶意软件到机器上时,系统也不会确认软件是否来自受信任的官方来源。这让他们可以做到任意遥控滑板车的加减速,置骑乘者于极大的危险。在 Zimperium 向小米通报漏洞后,小米表示已经认知到问题的存在,并且正在与生态系中生产电动滑板车的厂商,合力解决问题当中。

在当下除了寄望两方合作迅速把问题搞定之外,购买者似乎也没有什么更好的方法啊。

更正:内文中关于蓝牙模组的部份。

更新:官方声明如下:

小米已知悉小米米家电动滑板车可能存在漏洞,让骇客能够借此恶意妨碍滑板车正常运作。当我们意识到这个漏洞后,已立即进行修复工作,并拦截所有未经授权的应用程序。小米的产品开发及安全团队将尽快推出软件更新(OTA, Over-the-Air)。

小米非常重视用户与社群的宝贵意见,并致力做出相应改进以建造更好及安全的产品。

article