Una vulnerabilidad en un patinete eléctrico de Xiaomi permite su control por terceros (Actualizada)

Investigadores de seguridad han encontrado una vulnerabilidad crítica en un patinete eléctrico de Xiaomi, que permitiría realizar un ataque para su control remoto por terceros, bloqueándolo o algo peor, modificando su funcionamiento sobre la marcha.

El auge de los dispositivos IoT (Internet de las Cosas) ofrece un mundo de nuevas oportunidades, pero viene acompañado de un mayor riesgo en ciberseguridad al conectar miles de millones de dispositivos de todo tipo, incluido una nueva forma de viajar por el mundo como los patinetes eléctricos.

La firma Zimperium ha analizado la seguridad del patinete eléctrico Xiaomi M365. Un modelo que tiene una importante cuota de mercado y está siendo utilizado por diferentes marcas con algunas modificaciones.

El equipo utiliza una conexión inalámbrica Bluetooth para su gestión. Ello permite al usuario interactuar con el patinete en varias funciones, como un sistema antirrobo, el control de crucero, el modo Eco o la actualización del firmware de la máquina. Para acceder a estas funciones el usuario puede usar una aplicación dedicada protegida por una contraseña que el usuario puede cambiar.

Aquí es donde llegan los problemas. La investigación de Zimperium encontró que esta contraseña no se está utilizando correctamente como parte del proceso de autenticación con el scooter y que todos los comandos se pueden ejecutar sin ella. La contraseña solo se valida en el lado de la aplicación, pero el patinete en sí no realiza un seguimiento del estado de autenticación.

Los investigadores han creado una aplicación maliciosa que escanea los Xiaomi M365 cercanos y emite un comando que los desactiva mediante el uso de la función antirrobo, sin autenticación o consentimiento del usuario. como muestra la prueba de concepto:

• Ataque de denegación de servicio para el bloqueo de cualquier Xiaomi M365.
• Software malicioso para instalar un nuevo firmware malicioso que puede tomar el control total de la máquina.
• Ataque dirigido, apuntando a una unidad individual, causando que el patinete frene o acelere repentinamente.

Zimperium no ha mostrado la prueba de concepto para este último ataque por motivos obvios y ha informado a Xiaomi con anterioridad a la revelación pública. La firma china está investigando el asunto y se espera en breve una actualización de seguridad que parchee la vulnerabilidad.

ACTUALIZACIÓN:

Xiaomi ha emitido una declaración que transcribimos:

«Xiaomi es consciente de la vulnerabilidad que terceros maliciosos podrían explotar para bloquear el patinete. Tan pronto como nos enteramos de esta vulnerabilidad, hemos estado trabajando para solucionarlo y eliminar todas las aplicaciones no autorizadas. Una actualización OTA está en marcha por el equipo de productos y seguridad de Xiaomi, y estará disponible tan pronto como sea posible. Mientras tanto, recomendamos a los usuarios no descargar o utilizar aplicaciones de terceros no autorizadas. Xiaomi valora la retroalimentación de la comunidad de seguridad y estamos comprometidos a mejorar constantemente en base a todos los comentarios para construir productos mejores y más seguros».