據外媒報導,小米的M365電動滑板車被色列移動安全公司Zimperium發現安全漏洞。
電動滑板車在近兩年來在全世界都很火。但是在過去的幾個月裡,由於安全問題,這種流行的兩輪車曾經多次登上頭條。比如有些車會突然停下來,把駕駛者甩了出去。前段時間,小米的M365電動滑板車中被黑科發現了一個嚴重的類似軟體問題。
小米M365電動滑板車是小米公司生產的一種可攜式的交通設備,產品尺寸(摺疊前)約 1080mm * 430mm * 1140mm(摺疊後)約 1080mm * 430mm * 490mm。官方宣稱續航裡程可以達到30km,但是用戶反饋在實際使用下,是不可能達到的,但20km續航是沒啥難度的,路面允許,胎壓充足下,再增加一兩公裡也不是不可以的。當然,實際行駛距離還要取決於體重、溫度、風速等各種因素。
使用藍牙和官方APP來控制滑板車,app裡自帶鎖車功能,鎖車狀態下,推動會產生很大阻力停止車輛,並且發出滴滴聲響,算是一種防盜措施。這樣覺得這種小車還是很好很拉風的是不是?但是排除掉去年的「爆胎門」事件,今日M365又爆出了另一個問題。
國外一個黑科團隊表示,他們可以入侵小米M365,並可以實現另電動滑板車加速或停止。他們甚至不需要實際接觸滑板車。這種黑客攻擊可以在110碼(一碼是0.913米)之外無線進行,也就是說在100米外就可以控制這輛交通工具。
以色列移動安全公司Zimperium的威脅研究人員本周發布了一份概念證明,詳細說明了他們是如何控制M365的。像許多流行的電動滑板車一樣,M365使用藍牙與配套的行動應用程式通信。該應用程式允許用戶打開防盜功能並激活省電模式。它還允許M365車主更新他們摩託車的固件。
一般情況下,用戶必須輸入密碼才能執行固件升級,M365要求用戶選擇自己的密碼,而不是使用易於猜測的默認密碼。但是,Zimperium發現滑板車在遵循指令之前沒有正確驗證密碼。這使得Zimperium研究人員可以進入滑板車的系統來做他們想做的任何事情。平臺研究部主任拉尼·伊丹指出「我們可以使用所有這些特性,而不需要認證。」
據說Zimperium 已向小米提交說明了了這一缺陷問題,小米公司短時間內沒有立即回覆說明情況,靜觀其變吧。
高科技產品安全最重要,可以有不完善的地方,亡羊補牢猶未為晚不是麼?大家怎麼看待這次的M365電動滑板車的漏洞事件?