Kibernetinio saugumo temomis naujienas skelbianti svetainė informuoja, kad bendrovės „Zimperium“ ekspertai aptiko lengvai išnaudojamą, tačiau itin svarbią kibernetinio saugumo spragą „Xiaomi“ paspirtuko modelyje „M365 Folding Electric Scooter“. Klaida yra tokia rimta, kad ji naudotojui gali kainuoti gyvybę.
„Xiaomi“ paspirtukai yra itin populiarūs ir Lietuvoje – šios bendrovės produktų platintojai teigia, kad tai yra pati paklausiausia „Xiaomi“ prekė. Be to, identiškus paspirtukus, pažymėtus kitais prekės ženklais, gali pardavinėti ir kai kurios kitos Kinijos įmonės.
„Xiaomi M365 Electric Scooter“ yra valdomas per išmaniojo telefono programėlę. Su telefonu paspirtukas susisieja per slaptažodžiu apsaugotą „Bluetooth“ ryšį. Todėl šios transporto priemonės savininkai savo telefonu gali, tarkime, pasikeisti apsaugos nuo vagystės slaptažodį, įsijungti nuolatinio greičio palaikymo nustatymus, ekologinį važiavimo režimą, atsinaujinti paspirtuko programinę įrangą, peržiūrėti važinėjimo statistiką.
Tačiau kibernetinio saugumo ekspertai nustatė, kad dėl netinkamos slaptažodžio validavimo procedūros pačiame paspirtuke piktavaliai programišiai net per 100 metrų atstumą be jokio naudotojo slaptažodžio gali siųsti į konkrečią transporto priemonę nukreiptas valdymo komandas.
„Tyrimo metu nustatėme, kad slaptažodis paspirtuke nėra tinkamai naudojamas autentifikavimo procese ir kad visos komandos gali būti vykdomos neapsaugojus jų slaptažodžiu. Slaptažodis yra validuojamas tik programėlės pusėje, bet pats paspirtukas nestebi autentifikavimo būsenos“, – sakė „Zimperium zLabs“ tyrėjas Rani Idanas.
Išnaudojęs šią saugumo spragą programišius prieš paspirtuką gali panaudoti tokius veiksmus:
Užrakinti paspirtuką – tai yra savotiška „atsisakymo aptarnauti“ forma, kai piktavalis gali staiga užrakinti paspirtuką šiam važiuojant gatve.
Įdiegti piktybinę programinę įrangą – kadangi programėlė suteikia galimybę nuotoliniu būdu atnaujinti paspirtuko programinę įrangą, į jį galima įdiegti bet kokią piktybinę įrangą ir visiškai perimti paspirtuko valdymą.
Vykdyti tikslinę stabdymo/akceleravimo ataką – programišiai nuotoliniu būdu gali pasirinkti individualų paspirtuko naudotoją ir staiga priversti jo transporto priemonę sustoti arba pagreitėti.
Norėdami pademonstruoti vienos iš tokių atakų scenarijų, tyrėjai sukūrė specialią „koncepcijos patikrinimo“ programėlę, kuri ieško artimiausioje aplinkoje esančių M365 paspirtukų ir juos užrakina apsaugos nuo vagių priemone be jokio autentifikavimo, be savininko žinios.
„Programėlė sugeneruoja signalą, kuriame užkoduota tinkama bitų seka, kad būtų užrakinti visi paspirtukai, esantys iki 100 metrų atstumu“, – aiškina klaidos atradėjai.
Taip pat šios bendrovės atstovai sukūrė bei išbandė ir kitą „koncepcijos patikrinimo“ programėlę, kuri leidžia nuotoliniu būdu padidinti paspirtuko greitį, tačiau dėl akivaizdžios grėsmės naudotojų saugumui ši programėlė nebus platinama.
„Xiaomi“ apie šią saugumo spragą buvo informuoti prieš dvi savaites. Kinijos įmonė problemą pripažino ir paskelbė, kad jau kuriama spragą užtaisantis naujinys.
Kadangi kitų apsaugos priemonių, kurių galėtų imtis patys vartotojai, nėra, jiems rekomenduojama įsidiegti saugumo naujinį vos jam pasirodžius. O iki to laiko belieka kurį laiką paspirtuku nesinaudoti.
Visą „Zimperium zLabs“ ataskaitą galima rasti šioje svetainėje.