Az NJSZT blogja a legfejlettebb infokom technológiákról

Jelenből a Jövőbe

Még az elektromos rollerek is meghackelhetők

2019. február 15. - ferenck

A világ nagyvárosait elárasztották az elektromos rollerek. Ha esetleg azt látjuk, hogy a Xiaomi népszerű M365-én valaki a legváratlanabb pillanatban őrült sebességre kapcsol, majd még váratlanabbul lefékez, nem kell rögtön megkérdőjelezni az illető elmeállapotát.

Lehetséges, hogy valaki meghackelte a jármű szoftverét.

scooter.jpg

A Zimperium mobilbiztonsági cég figyelmeztette a gyártót: rést talált a modell programján, és azt kihasználva, rosszindulatú támadók távolról is irányíthatják a scootert. Az amerikai vállalat szoftverkutatását vezető Rani Idan elmondta, hogy az elemkezelést, a hardver és a szoftver között koordináló firmvare-t, és az okostelefonos appal való kommunikációt biztosító bluetooth modult elemezve, pár óra alatt megtalálták a biztonsági rést.

Hamar rájöttek, hogy bluetooth kapcsolaton keresztül jelszó és más azonosító megoldások nélkül is rákapcsolódhatnak a rollerre. Következő lépésben firmware telepíthető rá, amelynek hitelességét a rendszer nem ellenőrzi. Tehát hackerek a Xiaomi szoftverfrissítéseként rosszindulatú programokat installálhatnak fel, átvéve a roller irányítását.

scooter0.jpg

Innentől kezdve a legvészesebb forgatókönyvek is megvalósulhatnak.

A bluetooth implementálásával kapcsolatos problémák, különösen a gyenge azonosító/hitelesítő mechanizmusok sajnos nem egyediek a dolgok internetére (Internet-of-Things, IoT) kapcsolódó eszközöknél. A frissítéseket hitelesítő integritás-ellenőrzéseket a felhasználók általában nem végzik el. Ezzel a saját személyes szférájukat (privacy), a biztonságosságot és a biztonságot veszélyeztetik. A kockázat még nagyobb, ha egy ilyen eszköz meghackelésével személyek kerülhetnek fizikai veszélybe.

A Zimperium megkereste a Xiaomit, és meglepő választ kaptak. A fejlesztő tisztában van a biztonsági réssel, de önerőből nem tudja orvosolni. Valószínűleg azért nem, mert a bluetooth modul beépítését nem házon belül, hanem külsős céggel végeztették el.

A hivatalos appon hiába van jelszó opció, ha meg is adtuk, a rendszer nem kéri azt. Idan androidos és iOS-es alkalmazást is fejlesztett, és bluetooth kapcsolattal képes volt vezérelni a scootert.

„A dolgok internetének eszközei mindenhol jelen, legérzékenyebb adataink pedig rajtuk vannak. Ezek a tárgyak napi rutinná váltak. Azt hihetnénk, hogy a lehető legnagyobb biztonságot nyújtják, de sajnos nincs mindig így” – nyilatkozta Idan.

A bejegyzés trackback címe:

https://jelenbolajovobe.blog.hu/api/trackback/id/tr9214625274

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.