电动滑板车在美国蔚为风潮,资安公司Zimperium近期发布一份研究报告,透露小米电动滑板车的蓝牙装置存在漏洞,黑客可以用手机替路上的滑板车加油门、踩煞车,引发安全隐患。
被发现漏洞的是小米十分受欢迎的M365型号电动滑板车,车主可以透过蓝牙连线使用滑板车的多种功能,例如远距锁定防盗、行驶模式控制等等。一般而言,这些权限会被使用者设定的密码所保护,但Zimperium发现,蓝牙装置的认证程序没有正确执行,所有指令、功能都可在没有密码的状况下启动。
一台手机,黑客就能随机控制路上滑板车
Zimperium也透过影片示范如何黑入小米电动滑板车,透过手机裡的App,黑客可以扫描出附近的M365滑板车,无须任何事前准备,在使用者毫不知情的状况下,发送指令锁定滑板车、植入恶意程序或替滑板车加油门、踩煞车,控制距离可达100米。
视频演示
黑客能随机针对路上的M365电动滑板车进行攻击。
目前,小米方表示,「这个漏洞是内部已知问题,并且已经公诸于众,但由于这(M365)是与第三方合作的产品,我们也正努力找出解决方法。」
值得注意的是,M365型号同样是美国共享电动滑板车Bird的使用车款。对此,Bird发言人声称,这个漏洞他们1年前就已知晓,不会对旗下运行的共享电动滑板车造成任何影响;另一家共享电动滑板车公司Lime则表示,他们并未使用任何M365型号的车辆。
在小米正式发布更新修复漏洞前,车主只要在使用时,保持手机与滑板车之间的连接,黑客就无法趁虚而入、植入程序夺取操控权。
共享电动滑板车在欧美引发的风潮与商机,让它开始进入黑客的视线之中。这起事件,并非电动滑板车首次爆出被黑消息,去年12月时,外媒《Boing Boing》曾介绍如何利用价值30美元的电子套件,破解一辆Bird共享电动滑板车上的系统,将其据为己有,该媒体甚至因此受到Bird发信警告。
物联网带来便利,却也成为黑客入侵的管道
物联网技术令电动滑板车等新崛起的交通媒介,有著超越传统代步工具的便利性与连接性,你可以用手机轻易确认它们的状态与位置、启用多种功能,但随之而来的资讯安全却也成为厂商们必须面对的头号难题。
受到资安问题困扰的,不单单只是这些小巧轻便、随停随用的电动滑板车,就连电动车大厂特斯拉也无可避免。去年9月时,比利时天主教鲁汶大学的黑客团队,在阿姆斯特丹的学术会议上,发表一篇研究,谈到如何透过600美元的无线电与电子设备,在短短1.6秒内破解Model-S的金钥组合,打开车门偷走一辆电动车。目前特斯拉已针对该漏洞完成修复。
离开「车」的范畴,存在安全问题的物联网产品更是多不胜数,从智能手表、语音助理到家用机器人等,都曾传出漏洞、被黑客入侵的前例。举例来说,香港某厂商推出的儿童智能手表,曾遭披露重大缺陷,有心人士伪装成父母拨打电话,安全性存在疑虑。受惠于先进的物联网技术,家电、产品与使用者有著紧密连结,但这背后的隐忧,也是人们必须体认到的。
资料来源:The Verge、Zimperium、Boing Boing
