Un grupo de investigadores de seguridad logró hackear el scooter electrónico Mi Mijia Xiaomi M365 y controlar el vehículo a distancia sin autenticarse.

De acuerdo con los investigadores del grupo Zimperium, el scooter eléctrico de Xiaomi cuenta con una vulnerabilidad en su sistema de autenticación, pues permite que cualquier persona acceda a los controles del vehículo a nivel remoto mediante bluetooth y sin contraseñas.

Si bien, el scooter eléctrico Mi M365 de Xiaomi cuenta con un sistema de autenticación y registro mediante la aplicación oficial, no ocurre lo mismo cuando se conectan directamente por bluetooth con el dispositivo, señalan en el informe.

Esto representa una vulnerabilidad grave, ya que cualquiera puede acceder a los controles del vehículo y acelerar, frenar o detener sin que el conductor pueda evitarlo, lo que podría poner en peligro la seguridad de cualquier piloto.

Nuestros investigadores pudieron piratear uno de los scooters eléctricos principales, el Xiaomi M365, y bloquear, frenar y / o acelerar efectivamente los scooters de cualquier piloto que pase.

Para determinar el fallo de seguridad, los investigadores de Zimperium incrustaron un malware en un supuesto firmware para el vehículo, debido a que el módulo de bluetooth del scooter no analiza estas acciones, permiten que el atacante tome el control del vehículo.

Google lanza parche de seguridad 'Abril 2019' de Android para corregir 89 vulnerabilidades

Los investigadores realizaron una prueba en video, situándose a una distancia de 100 metros del scooter Xiaomi Mi M365 e intentaron tomar el control del vehículo desde esta distancia.

El investigador ejecutó los comandos de acelerar, frenar y bloquear desde su móvil sin necesidad de verificar la contraseña, afectando al conductor.

Durante nuestra investigación, determinamos que la contraseña no se está utilizando correctamente como parte del proceso de autenticación con el scooter y que todos los comandos se pueden ejecutar sin la contraseña. La contraseña solo se valida en el lado de la aplicación, pero el scooter en sí no realiza un seguimiento del estado de autenticación.

El scooter eléctrico M365 de Xiaomi es uno de los más populares actualmente, y la conducción del mismo se realiza por una comunicación vía Bluetooth, por lo que esta vulnerabilidad podría representar un fallo global, permitiendo ataques de denegación de servicio (Dos) para bloquear el dispositivo, implementar un deploy malware –instalar el firmware malicioso como el realizado por zimperium, o bien ejecutar un ataque dirigido, advierten los investigadores.

El equipo de Zimperium reveló la vulnerabilidad a Xiaomi y en su respuesta, la compañía señala que están al tanto del error y se encuentran trabajando para corregirlo.

En el siguiente video podrás ver las pruebas realizadas por los investigadores para demostrar el fallo de seguridad del Xiaomi M365.

Más en TekCrispy