Эксперты по информационной безопасности из компании Zimperium обнаружили серьезную уязвимость в популярных электросамокатах Xiaomi M365 производства Segway-Ninebot.

Она связана с модулем Bluetooth и позволяет злоумышленникам перехватить управление системой, вызвав ускорение или торможение средства передвижения без участия его владельца.

Для эксплуатации уязвимости хакерам не требуется физический доступ к самокату. Перехватить управление специалистам удалось на расстоянии до 100 метров. Zimperium продемонстрировали на видео, что происходит с самокатом ничего не подозревающих его владельцев, удаленно активируя тормоз.

Уязвимость также позволяет загружать в память самоката стороннее программное обеспечение, с помощью которого можно расширить перечень доступных хакеру команд по управлению системой.

Zimperium сообщила о дыре в безопасности в компанию Xiaomi, предоставив копию отчета, подтверждающую его получение. Кроме того, есть ответ, в котором Xiaomi называет баг «известной внутри компании проблемой». Журналистам в китайской компании говорят, что никаких сообщений об уязвимости от Zimperium не получали.