Lo Xiaomi Mi Electric Scooter è un monopattino elettrico utilizzato da alcune società di noleggio scooter negli USA che contiene un difetto che potrebbe consentire a un hacker di prenderne il controllo da remoto, inclusi l’acceleratore e il freno, secondo le informazioni diffuse martedì dal gruppo di ricerca sulla sicurezza Zimperium.
L’azienda incolpa il processo di autenticazione della password dello scooter, che avviene tramite comunicazioni Bluetooth. “Durante la nostra ricerca, abbiamo determinato che la password non viene utilizzata correttamente come parte del processo di autenticazione con lo scooter e che tutti i comandi possono essere eseguiti senza la password“, ha detto Zimperium in una nota. “La password è convalidata solo dal lato dell’applicazione, ma lo scooter stesso non tiene traccia dello stato di autenticazione.”
I ricercatori hanno affermato di essere in grado di interagire con il sistema antifurto dello Xiaomi Mi Electric Scooter, con il cruise control e con la modalità eco, nonché di aggiornare il firmware, senza l’autenticazione richiesta.
Zimperium ha pubblicato un “video proof-of-concept” che mostra la scansione delle app per gli Xiaomi Mi Electric Scooter nelle vicinanze e li disabilita attraverso la loro funzione antifurto. L’app funziona su qualsiasi M365 (il modello specifico) in un raggio di circa 100 metri.
La vulnerabilità di sicurezza si aggiunge alle preoccupazioni relative agli e-scooter noleggiabili, che sono diventati un argomento controverso in molte città americane.
C’è da dire comunque che questa falla di sicurezza è specialmente grave quando si tratte di flotte di veicoli ma che, nel caso acquistate uno Xiaomi Mi Electric Scooter per uso personale, difficilmente sarebbe efficace. Questo perché non ci sarebbe bisogno di alcuna autenticazione ogni qualvolta decidete di usarlo.
