La trottinette hackée de Xiaomi montre les dangers de l'avenir mobile
Alors qu'en Allemagne les trottinettes électriques attendent toujours d'être homologués, dans d'autres parties du monde ils ils envahissent déjà les rues de nombreuses grandes villes. Vous pourriez penser que le seul risque est d'être percuté par l'une de ces trottinettes, mais il y a un danger bien plus grave.
Une vidéo publiée par la société de sécurité Zimperium montre ce que pourrait être ce danger. Les chercheurs veulent mettre en garde contre un bug critique dans le populaire scooter électrique M365 de Xiaomi, qui est également utilisé par les sociétés de location telles que Lyft ou Bird. Ce bug permet aux attaquants distants de prendre le contrôle du scooter et d'influencer des fonctions critiques telles que l'accélération et la décélération.
Les experts utilisent la structure logicielle de la trottinette. Elle se compose de trois éléments : la gestion de la batterie, le micrologiciel pour la communication entre le logiciel et le matériel, et un module Bluetooth. Via ce dernier, les propriétaires peuvent "communiquer" avec le Xiaomi M365 via le smartphone.
Rani Idan, directrice de la recherche sur les logiciels chez Zimperium, a découvert que vous pouviez vous connecter à la trottinette sans qu'on vous demande un mot de passe ou quoi que ce soit d'autre. Ensuite, un nouveau logiciel peut être installé en quelques secondes, rien ne vérifie s'il vient officiellement du fabricant. En d'autres termes : les attaquants peuvent facilement installer des logiciels malveillants et obtenir un contrôle total sur la trottinette.
L'erreur ne pouvait pas être corrigée immédiatement
On peut imaginer ici des scénarios catastrophes, dans lesquels par exemple les utilisateurs de la trottinette se retrouvent soudainement ralentis. Bien sûr, avec un tel appareil, il est plus facile de sauter sur le côté afin d'éviter d'avoir un accident, mais il n'est pas improbable que vous ne réagissiez pas assez vite à cause del a surprise ou que la trottinette seule entraîne un accident.
Comme si cela n'était pas déjà assez effrayant, il y avait aussi la déclaration de Xiaomi à ce sujet. Selon Zimperium, Xiaomi avait été informé du problème, il avait répondu qu'il était conscient du souci mais qu'il n'était pas en mesure de le résoudre lui-même. Cela s'explique par le fait que le fabricant reçoit l'interface Bluetooth d'un tiers et ne la programme pas lui-même.
Les trottinettes électroniques ont l'avenir devant elles
Ce n'est pas la première fois que l'un des véhicules dits légers électriques peut être piraté. En 2017, les chercheurs ont découvert une vulnérabilité critique dans les hoverboards Segway MiniPro. Et ce ne sera certainement pas la dernière brèche qui se glissera dans ces véhicules.
C'est effrayant, surtout pour l'avenir. Parce que les petits scooters électroniques ont l'avenir devant elles et il ne faudra pas longtemps avant que, par exemple, les petits fabricants se lancent sur le marché avec des logiciels un peu bâclés qui représentent un risque potentiel. Il est urgent d'établir des lignes directrices pour assurer la sécurité !
MAJ : le problème a été réglé
Le constructeur chinois s'est récemment exprimé sur ce problème de mis à jour et, bonne nouvelle, le problème est réglé. Il a déclaré les propos suivants :
"Le 18 mars 2019, Xiaomi a mis à disposition des propriétaires du Mi Electric Scooter une mise à jour logicielle OTA (Version 1.5.1), dont l’objectif de est corriger les vulnérabilités détectées le mois dernier.
Pour la recevoir, les utilisateurs doivent installer la dernière version de l’application Mi Home / Xiaomi Home app : Android version 5.5.0 ou iOS version 4.13.101."
Via : Wired
A ajouter aux 8 milliards d'assistants vocaux bientôt piratés ?
De toute façon, c'est déjà le cas sur nos voitures thermiques actuelles via la prise ODB, la seule différence est que là c'est à distance... le résultat final est presque le même nan ?
C'est bien pour ça que je ne suis pas près d'avoir un véhicule connecté dont les accès à des organes de sécurité sont trop faciles.
D'un autre côté, qui sait réellement si son propre véhicule n'est pas vulnérable à ce genre d'attaques informatiques ? Celui qui roule en Lada ou en 2CV peut-être. 😊
Effrayant, surtout connaissant le peu de morale dont sont dotés certains dans ce monde remplis de fous, infiniment plus nombreux en liberté qu'enfermés.
Signé : un fou qui s'ignore 😜
Je me souviens que l'on a présenté il y a déjà quelques temps (je ne sais plus où, possiblement ici) une vidéo où un hacker prenait les commandes depuis l'extérieur des éclairages d'un immeuble de bureaux (cela se passait de nuit quand les pièces étaient vidées de leurs occupants)
La personne pouvait intervenir car, par facilité, aucun mot de passe n'était installé d'origine sur les objets connectés.
Dingue. Les hackers ont de beaux jours devant eux avec tous ces objets connectés souvent insuffisamment protégés.
Il semble me rappeler que c'était pour justement démontrer la légèreté avec laquelle à la fois les constructeurs et les utilisateus agissent.
(-63)