Risolta la pericolosa vulnerabilità nei monopattini elettrici Xiaomi M365

• Patch management
• Xiaomi

A metà febbraio un gruppo di esperti ha scoperto una pericolosa vulnerabilità nel diffusissimo ed apprezzato monopattino elettrico Xiaomi M365: un malintenzionato fisicamente postosi vicino all’oggetto poteva controllarne da remoto la velocità e la frenata usando ad esempio il suo smartphone e causando non pochi problemi in termini di sicurezza.
Rani Idan, direttore delle attività di ricerca di Zimperium, ha spiegato che il problema risiedeva a livello di modulo Bluetooth: la precedente configurazione lasciava il monopattino M365 completamente esposto a rischi di attacco.

I ricercatori di Zimperium hanno scoperto che risultava immediato collegarsi via Bluetooth al dispositivo Xiaomi, senza nessuna forma di autenticazione preventiva, modificare “al volo” il firmware e inserire una routine per il controllo remoto. Idan ha aggiunto che il codice arbitrario inserito nei dispositivi altrui non veniva verificato e non veniva neppure controllata la presenza della firma digitale Xiaomi.

Nel video si vede come “un incaricato” di Zimperium abbia preso il controllo di un monopattino M365 all’insaputa del proprietario frenandolo in modalità remota (ma, molto più pericolosamente, avrebbe potuto accelerarlo alla massima velocità). Secondo Zimperium l’attacco funziona nel raggio di 100 metri.

Fortunatamente Xiaomi ha provveduto a rilasciare una versione aggiornata del firmware per i suoi monopattini elettrici M365. Con una breve nota ufficiale, la società cinese conferma che “il 18 marzo 2019 Xiaomi ha rilasciato un aggiornamento del firmware OTA (versione 1.5.1) per Mi Electric Scooter al fine di risolvere le vulnerabilità di sicurezza riscontrate il mese scorso. Gli utenti dovranno installare l’ultima versione dell’app Mi Home / Xiaomi Home (versione Android 5.5.0 / iOS versione 4.13.101) per ricevere il nuovo OTA per Mi Electric Scooter“.

Problemi come quello individuato dal team di Zimperium non sono affatto infrequenti e saranno purtroppo sempre più all’ordine del giorno con il lancio e la proliferazione di un sempre maggior numero di dispositivi IoT.
Nel 2017 l’hoverboard Segway MiniPro soffriva di una lacuna di sicurezza molto simile a quella diagnosticata da Zimperium: l’azienda produttrice si attivò rapidamente per risolverla e rilasciare il firmware aggiornato.

Va ricordato che in generale i monopattini elettrici, come quello commercializzato da Xiaomi, non sono comunque utilizzabili in Italia su suolo pubblico (si possono rischiare multe salatissime da parte delle autorità).
Il Ministero delle infrastrutture e dei trasporti non ha ancora dato il via libera per l’utilizzo di monopattini e scooter elettrici: si registrano soltanto alcune eccezioni (vedasi l’esempio dei Segway).

Maggiori informazioni sullo studio di Zimperium sono disponibili a questo indirizzo.