LOGOTD2016 2

Miercoles 20 de Febrero de 2019

+57(1) 361 87 14

Vulnerabilidad en scooters de Xiaomi podrían poner en riesgo la vida del usuario

El error permite el envío de comandos no autenticados vía Bluetooth al scooter.

 

Aunque el uso de dispositivos inteligentes ha simplificado muchas labores cotidianas, especialistas en seguridad en redes también destacan que confiar demasiado en un equipo inseguro podría resultar perjudicial para los usuarios, llegando incluso a comprometer su integridad física.

 

Este parece ser el caso de los scooters eléctricos. Acorde a un grupo de investigadores, una vulnerabilidad crítica y muy fácil de explotar ha sido descubierta en el M365 Folding Electric Scooter del fabricante chino Xiaomi. Según los expertos en seguridad en redes, la explotación de este error podría poner en riesgo la vida del usuario.

 

El scooter eléctrico de Xiaomi cuenta con un mercado considerable y es utilizado por otras compañías, implementando algunas modificaciones con permiso de la empresa china.

 

El M365 debe ser vinculado a una app vía Bluetooth, enlace protegido mediante una contraseña, con lo que los usuarios pueden acceder a funciones como habilitar el sistema anti robo, actualizaciones del sistema, activar diversos modos de usuario y acceso a estadísticas de uso del scooter.

 

Acorde a los expertos en seguridad en redes, una validación de contraseña incorrecta en el scooter permite a un atacante enviar comandos no autenticados vía Bluetooth sin necesidad de usar la contraseña del usuario. El ataque puede realizarse a una distancia de hasta 100 metros.

 

"Descubrimos que la contraseña no se está usando de la forma correcta en el proceso de autenticación cuando la app es vinculada con el scooter, por lo que cualquier comando puede ser ejecutado sin la contraseña", mencionó Rani Idan, especialista en ciberseguridad.

 

Si la vulnerabilidad es explotada con éxito, un hacker podría realizar diversas acciones maliciosas, como:

 

*Bloqueo del scooter: Un atacante podría bloquear repentinamente cualquier scooter, incluso si está en movimiento; algo parecido a un ataque DDoS.

 

*Despliegue de malware: La app del M365 permite al usuario actualizar el firmware del scooter vía remota, por lo que un atacante podría entregar un firmware malicioso que le permita tomar control del scooter.


*Ataques dirigidos: Los atacantes podrían hacer que un scooter acelere o frene repentinamente.

 

Los investigadores realizaron una prueba de concepto para demostrar algunos de los posibles escenarios. Para ello, desarrollaron una app que busca scooters M365 cercanos y los bloquea mediante el uso de la función anti robo, sin necesidad de interacción de la víctima.

 

Fuente: noticiasseguridad

seo plugin e-max.it

Acceso

Suscripción

Términos y Condiciones

Somos una empresa conformada por un equipo de profesionales y técnicos capacitados permanentemente en las diferentes áreas de la tecnología, con el fin de estar al día en los continuos adelantos y cambios en la normalización y ajuste de procesos y procedimientos exigidos por los diferentes entes en las entidades estatales y públicas, “y de esta manera garantizar un excelente servicio.”

COPYRIGTH 2013 TD TECHNODIGITAL SAS. Prohibida su reproduccion total o parcial, asi como su traduccion a cualquier idioma sin autorizacion escrita de su titular.

Desarrollado por TD-TECHNODIGITAL SAS

 

CONTACTO

Calle 26b No 12i 30 

Bogota - Colombia

tdtechnodigital@tdtechnodigital.com

Tel: 361 87 14  Cel: 312-5463451 / 311-8739800