Эксперты по информационной безопасности из компании Zimperium обнаружили серьезную уязвимость в популярных электросамокатах Xiaomi M365 производства Segway-Ninebot.
Она связана с модулем Bluetooth и позволяет злоумышленникам перехватить управление системой, вызвав ускорение или торможение средства передвижения без участия его владельца.
Для эксплуатации уязвимости хакерам не требуется физический доступ к самокату. Перехватить управление специалистам удалось на расстоянии до 100 метров. Zimperium продемонстрировали на видео, что происходит с самокатом ничего не подозревающих его владельцев, удаленно активируя тормоз.
Уязвимость также позволяет загружать в память самоката стороннее программное обеспечение, с помощью которого можно расширить перечень доступных хакеру команд по управлению системой.
Zimperium сообщила о дыре в безопасности в компанию Xiaomi, предоставив копию отчета, подтверждающую его получение. Кроме того, есть ответ, в котором Xiaomi называет баг «известной внутри компании проблемой». Журналистам в китайской компании говорят, что никаких сообщений об уязвимости от Zimperium не получали.