小米電動滑板車驚傳漏洞,駭客憑手機惡意加速、踩煞車

2019.02.18 by
陳建鈞
小米電動滑板車驚傳漏洞,駭客憑手機惡意加速、踩煞車
shutterstock
透過一支手機,駭客就能遠距控制100公尺的M365滑板車加速或煞車,若遭有心人士惡意使用,後果難以想像。

電動滑板車在美國蔚為風潮,資安公司Zimperium近期發布一份研究報告,披露小米電動滑板車的藍牙裝置存在漏洞,駭客可以用手機替路上的滑板車加速、踩煞車,引發安全疑慮。

被發現漏洞的是小米十分受歡迎的M365型號電動滑板車,車主可以透過藍牙連線使用滑板車的多種功能,例如遠距鎖定防盜、行駛模式控制等等。一般而言,這些權限會被使用者設定的密碼所保護,但Zimperium發現,藍牙裝置的認證程序沒有正確執行,所有指令、功能都可在沒有密碼的狀況下啟動。

一支手機,駭客就能隨機遙控路上滑板車

Zimperium也透過影片示範如何駭入小米電動滑板車,透過手機裡的App,駭客可以掃描出附近的M365滑板車,無須任何事前準備,在使用者毫不知情的狀況下,發送指令鎖定滑板車、植入惡意程式或替滑板車催油門、踩煞車,控制距離可達100公尺。

駭客能隨機針對路上的M365電動滑板車進行攻擊。

接獲Zimperium回報之後,小米回覆,「這個漏洞是內部已知問題,並且已經公諸於眾,但由於這(M365)是與第三方合作的產品,我們也正努力找出解決方法。」

值得注意的是,M365型號同樣是美國共享電動滑板車新創Bird的使用車款。對此,Bird發言人聲稱,這個漏洞他們1年前就已知曉,不會對旗下運行的共享電動滑板車造成任何影響;另一家共享電動滑板車新創Lime則表示,他們並未使用任何M365型號的車輛。

共享電動滑板車新創Bird稱,這次遭披露的漏洞,不會對旗下服務造成任何影響。
Bird via Instagram

在小米正式發布更新修復漏洞前,Zimperium也提供暫時的解決方法,車主只要在使用時,保持手機與滑板車之間的連接,駭客就無法趁虛而入、植入惡意程式奪取操控權。

電動滑板車在美國引發的風潮與商機,讓它開始進入駭客的視線之中。這起事件,並非電動滑板車首次爆出被駭消息,去年12月時,外媒《Boing Boing》曾介紹如何利用價值30美元的電子套件,癱瘓一輛Bird共享電動滑板車上的系統,將其納為己有,該媒體甚至因此受到Bird發信警告。

IoT帶來便利,卻也成為駭客入侵的管道

物聯網(IoT)技術令電動滑板車等新崛起的交通媒介,有著超越傳統代步工具的便利性與連接性,你可以用手機輕易確認它們的狀態與位置、啟用多種功能,但隨之而來的資訊安全卻也成為廠商們必須面對的頭號難題。

受到資安問題困擾的,不單單只是這些小巧輕便、隨停隨用的電動滑板車,就連電動車大廠特斯拉也無可避免。去年9月時,比利時天主教魯汶大學的駭客團隊,在阿姆斯特丹的學術會議上,發表一篇研究,談到如何透過600美元的無線電與電子設備,在短短1.6秒內破解Model-S的金鑰組合,打開車門偷走一輛電動車。目前特斯拉已針對該漏洞完成修復。

離開「車」的範疇,存在資安問題的IoT產品更是多不勝數,從智慧手錶、語音助理到家用機器人等,都曾傳出漏洞、被駭客入侵的前例。舉例來說,香港廠商Misafes推出的兒童智慧手錶,曾遭披露重大缺陷,有心人士偽裝成父母撥打電話,安全性存在疑慮。受惠於先進的IoT技術,新世代的家電、產品與使用者有著緊密連結,但這背後的隱憂,也是人們必須體認到的。
資料來源:The VergeZimperiumBoing Boing

延伸閱讀

每日精選科技圈重要消息