【米粉注意】小米米家電動滑板車存漏洞
小米米家電動滑板車以「自由穿行,一路美景」、「簡約幾何設計,1 分鐘輕鬆上手」、「30 公里超長續航」、「雙重剎車系統」、「便攜折疊」為賣點,售價 1,999 人仔,非常吸引。這款平靚正電動滑板車亦廣受用家愛戴,國內外米粉以此自由穿行,一路美景。
不過,《The Hacker News》收到手機安全公司 Zimperium 的報告,發現小米米家電動滑板車 M365 存漏洞,可讓黑客輕易控制電動滑板車,危害駕駛者性命。
隨 M365 電動滑板車使用的手機程式「智能管家」可以通過藍芽連接,化為儀表板,對當前騎行速度、剩餘電量等進行實時查看,對滑板車進行固件升級。手機程式亦可設定密碼、反偷車,更可發出指令,匹配設定的速度,作定速巡航。
不過,研究員發現密碼設定只在手機程式端有效,而滑板車端並不作憑證狀態追蹤。如電動滑板車密碼設定不當,可讓黑客於 100 米範圍以藍芽發出未受權的指令。如黑客心懷不軌,可以發出非常危險的指令,令電動滑板車突然鎖車、加速、剎車,亦可載入惡意程式完全控制電動滑板車。
Zimperium 已於兩周前向小米報告,小米回應已就問題研究修補方案。現時仍未有任何修補,各位用家務必留意,小心!
2 月 15 日更新:
小米香港之公關公司代表於 2019 年 2 月 15 日電郵至本網,就「【米粉注意】小米米家電動滑板車存漏洞」的報導所提及與小米有關的內容作出以下回應:
「小米已知悉小米米家電動滑板車可能存在漏洞,讓黑客能夠藉此惡意妨礙滑板車正常運作。
當我們意識到這個漏洞後,已立即進行修復工作,並攔截所有未經授權的應用程式。小米的產品開發及保安團隊亦將盡快推出OTA (Over-the-Air) 軟件更新。
小米非常重視用戶及保安社群的寶貴意見,並致力作出相應改進以建造更好及安全的產品。」
