小米电动滑板车被曝漏洞，黑客可远程控制 | 雷峰网-亚博电竞网

雷锋网消息，2 月 13 日，据 cnet 报道，以色列移动安全公司 zimperium 发布公告称，其安全研究员在小米 m365 电动滑板车中发现了一个安全缺陷，黑客可对车辆实行完全的远程控制，也可以让该电动滑板车在使用过程中突然加速或刹车。

【 图片来源：  所有者：cnet 】

zimperium认为，造成这一安全缺陷的原因是，m365 电动滑板车的密码认证过程通过蓝牙通信。zimperium在一份声明中指出：“所有命令可以在没有密码的情况下执行，密码仅在应用程序端验证，但滑板车本身不跟踪身份验证状态。”

研究人员称，他们还能在无需身份验证的情况下与该设备的防盗系统、巡航控制和 eco 模式交互，并更新其固件。

zimperium 发布了一个概念验证视频，据视频显示，安全研究员用一个应用程序扫描附近的小米滑板车，并通过其防盗功能禁用了它们。 zimperium称，该应用程序可以在大约 328 英尺（100米）范围内的任何 m365 上工作。

zimperium 发现的该缺陷与 2017 年发现的 segway 滑板漏洞相似。美国网络安全公司 ioactive 发现，不用经过身份验证，即可通过蓝牙更新，手动向 segway 应用程序发送命令，从而获得对远程控制板的完全远程访问。

zimperium称，已经向小米报告了这个漏洞，但小米并未立即回复。

雷锋网编辑已与小米公关联系求证此事，截至 2 月 13 日下午本文发布前尚未获得回复。

via