小米電動滑板車驚傳漏洞,駭客憑手機惡意加速、踩煞車
電動滑板車在美國蔚為風潮,資安公司Zimperium近期發布一份研究報告,披露小米電動滑板車的藍牙裝置存在漏洞,駭客可以用手機替路上的滑板車加速、踩煞車,引發安全疑慮。
被發現漏洞的是小米十分受歡迎的M365型號電動滑板車,車主可以透過藍牙連線使用滑板車的多種功能,例如遠距鎖定防盜、行駛模式控制等等。一般而言,這些權限會被使用者設定的密碼所保護,但Zimperium發現,藍牙裝置的認證程序沒有正確執行,所有指令、功能都可在沒有密碼的狀況下啟動。
一支手機,駭客就能隨機遙控路上滑板車
Zimperium也透過影片示範如何駭入小米電動滑板車,透過手機裡的App,駭客可以掃描出附近的M365滑板車,無須任何事前準備,在使用者毫不知情的狀況下,發送指令鎖定滑板車、植入惡意程式或替滑板車催油門、踩煞車,控制距離可達100公尺。
接獲Zimperium回報之後,小米回覆,「這個漏洞是內部已知問題,並且已經公諸於眾,但由於這(M365)是與第三方合作的產品,我們也正努力找出解決方法。」
值得注意的是,M365型號同樣是美國共享電動滑板車新創Bird的使用車款。對此,Bird發言人聲稱,這個漏洞他們1年前就已知曉,不會對旗下運行的共享電動滑板車造成任何影響;另一家共享電動滑板車新創Lime則表示,他們並未使用任何M365型號的車輛。
在小米正式發布更新修復漏洞前,Zimperium也提供暫時的解決方法,車主只要在使用時,保持手機與滑板車之間的連接,駭客就無法趁虛而入、植入惡意程式奪取操控權。
電動滑板車在美國引發的風潮與商機,讓它開始進入駭客的視線之中。這起事件,並非電動滑板車首次爆出被駭消息,去年12月時,外媒《Boing Boing》曾介紹如何利用價值30美元的電子套件,癱瘓一輛Bird共享電動滑板車上的系統,將其納為己有,該媒體甚至因此受到Bird發信警告。
IoT帶來便利,卻也成為駭客入侵的管道
物聯網(IoT)技術令電動滑板車等新崛起的交通媒介,有著超越傳統代步工具的便利性與連接性,你可以用手機輕易確認它們的狀態與位置、啟用多種功能,但隨之而來的資訊安全卻也成為廠商們必須面對的頭號難題。
受到資安問題困擾的,不單單只是這些小巧輕便、隨停隨用的電動滑板車,就連電動車大廠特斯拉也無可避免。去年9月時,比利時天主教魯汶大學的駭客團隊,在阿姆斯特丹的學術會議上,發表一篇研究,談到如何透過600美元的無線電與電子設備,在短短1.6秒內破解Model-S的金鑰組合,打開車門偷走一輛電動車。目前特斯拉已針對該漏洞完成修復。
離開「車」的範疇,存在資安問題的IoT產品更是多不勝數,從智慧手錶、語音助理到家用機器人等,都曾傳出漏洞、被駭客入侵的前例。舉例來說,香港廠商Misafes推出的兒童智慧手錶,曾遭披露重大缺陷,有心人士偽裝成父母撥打電話,安全性存在疑慮。受惠於先進的IoT技術,新世代的家電、產品與使用者有著緊密連結,但這背後的隱憂,也是人們必須體認到的。
資料來源:The Verge、Zimperium、Boing Boing