Une faille permet de contrôler à distance une trottinette électrique Xiaomi M365
Le 13 février 2019 à 09h29
1 min
Sciences et espace
Sciences
Cette découverte a été faite par l'équipe de sécurité informatique de Zimperium, qui en explique le fonctionnement sur son blog. La trottinette électrique peut être contrôlée en Bluetooth, via une application sur son smartphone, dont l'accès est protégé par un mot de passe.
« Au cours de nos recherches, nous avons remarqué que le mot de passe n’est pas utilisé correctement dans le cadre du processus d’authentification avec la trottinette et que toutes les commandes peuvent être exécutées sans le mot de passe », expliquent les chercheurs.
Un pirate pourrait donc utiliser cette brèche pour contrôler à distance toutes les fonctionnalités disponibles dans l'application Xiaomi (dont la mise à jour du firmware), sans avoir besoin de la moindre authentification. Arrêter la trottinette, la ralentir ou accélérer devient alors possible. Une vidéo de démonstration a été mise en ligne.
Xiaomi a été prévenu en amont de la publication par Zimperium. La société a répondu aux chercheurs que la faille était déjà connue publiquement et qu'elle provenait d'une tierce partie. Rien par contre sur l'arrivée d'un éventuel correctif.
Le 13 février 2019 à 09h29
Commentaires (9)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 13/02/2019 à 09h49
“On sait on sait, voilà une bonne solution, quand vous roulez il suffit de serrer les fesses”
Le 13/02/2019 à 10h12
Les piétons vont pouvoir respirer…
Le 13/02/2019 à 12h18
Quel intérêt d’avoir implémenté le contrôle à distance par bluetooth ? " />
Le 13/02/2019 à 12h38
J’avoue que c’est un mystère.
Déjà une trottinette connectée? Wtf. " />
Le 13/02/2019 à 13h19
Je sais même pas si on peut parler d’une faille, y’a juste 0 mechanisme de protection
Le 13/02/2019 à 14h30
Leurs débilophones, c’est pareil?
La plus drôle c’est qu’ils ne semblent pas pressés d’agir… Dans le même genre, ils font un vélo électrique aussi. En prime, il n’a qu’un seul frein (ce qui lui interdit d’ailleurs de rouler chez nous, normalement). Ce pourrait être drôle si le couple moteur est plus fort que celui de freinage (resté mécanique)!
Le 13/02/2019 à 15h45
C’est une défense sérieuse de se limiter à dire “c’est pas moi c’est le prestataire” ? Ils ont quel âge ?
Le 13/02/2019 à 21h45
it’s not a bug, it’s a feature
Le 10/03/2019 à 14h24
Hello ! Xiaomi s’est rapidement aperçu de cette fraude et a conçu la Xiaomi m365 pro de sorte à ce que les utilisateurs ne rencontrent plus ce problème. Vivement qu’elle sorte sur le sol français ! Pour l’heure, nous avons aussi un site qui parle de la trottinette Xiaomi ! N’hésitez pas à venir faire un tour:https://trottilab.fr