研究人员发现小米的 M365 电动滑板车具有安全漏洞,骇客可以透过这个漏洞远端操控任何一台滑板车,任意进行加速或刹车,严重危及用户的生命安全。
网络安全公司 Zimperium 的软件研究总监 Rani Idan 发现,M365 电动滑板车用来与使用者智能手机连结的蓝牙模组暴露在巨大的资安风险中。Idan 表示,用蓝牙连结到电动滑板车不需要任何密码或身份验证,即使在滑板车安装固件系统也不会检查这是不是官方更新,这代表骇客可轻易把恶意软件安装到滑板车上并远端进行操控。骇客只要透过恶意软件远端让滑板车加速或刹车,就很可能导致用户受伤甚至死亡。
小米官方表示已经发现这个问题,不过无法自行解决。科技媒体 WIRED 推测这是因为 M365 电动滑板车的蓝牙模组为第三方供应商提供,因此小米没办法直接处理。小米告知 Zimperium 这是与第三方合作的产品,目前正在沟通解决方案。蓝牙连结的资安风险在物联网装置中其实并不罕见,容易造成各种隐私和安全的风险。Idan 指出物联网装置无所不在,虽然消费者会认为这些装置会提供最好的安全防护,不过不幸的是并非每次都如此。
▲ 网络安全公司 Zimperium 在影片中示范如何远端操控 M365 电动滑板车。
M365 电动滑板车是一款畅销车种,中国售价为 1,999 人民币,约新台币 9,100 元,最长续航距离达 30 公里。M365 电动滑板车也被共享电动滑板车平台 Bird 和 Lyft 采用,客制化的 M365 电动滑板车甚至是 Bird 的第一款滑板车型号,不过目前已逐步淘汰。
- A Popular Electric Scooter Can Be Hacked to Speed Up or Stop
(首图来源:小米)
延伸阅读:
- 小米回应柔宇科技炮轰双折叠手机事件:我们是自己研发,并非拿 LG 的概念机
- 小米首秀自家双折叠手机,遭同业炮轰他们手机是买来的概念机、“技术突破”说法是公然造假
- Uber 传闻收购新创 Bird 或 Lime,猛攻共享电动滑板车市场
- 共享电动滑板车新创 Bird 募资 1.5 亿美元,化身第一只滑板车独角兽
