可以说电动滑板车如今在世界各地都是一种潮流,但它现在也面临着安全风险。
据外媒报道,移动安全公司Zimperium的研究人员Rani Idan在周二揭露了小米M365电动滑板车的一个漏洞,攻击者可利用该漏洞远程控制滑板车加速或刹车。漏洞存在的原因在于滑板车缺乏对用户的身份认证。
Idan称,用于验证滑板车的密码并未被正确使用,它只是在验证应用程序方面有效,但是操作滑板车并不需要密码。
Zimperium创建了一个PoC代码验证了这个漏洞。在没有身份验证或用户同意的情况下,研究人员通过DoS攻破了M365滑板车的防盗机制,并可控制100米以内的滑板车的刹车和加速。
Zimperium表示,小米于2019年1月28日已获知该问题,小米表示这是“第三方产品”导致的“内部已知问题”。
截至目前为止,这些滑板车的漏洞还未修复。