小米電動滑板車被曝漏洞，黑客可遠程控制

雷鋒網消息，2 月 13 日，據 CNET 報道，以色列移動安全公司 Zimperium 發布公告稱，其安全研究員在小米 M365 電動滑板車中發現了一個安全缺陷，黑客可對車輛實行完全的遠程控制，也可以讓該電動滑板車在使用過程中突然加速或剎車。

【 圖片來源：

cnet所有者：cnet 】

Zimperium認為，造成這一安全缺陷的原因是，M365 電動滑板車的密碼認證過程通過藍牙通信。Zimperium在一份聲明中指出：「所有命令可以在沒有密碼的情況下執行，密碼僅在應用程序端驗證，但滑板車本身不跟蹤身份驗證狀態。」

研究人員稱，他們還能在無需身份驗證的情況下與該設備的防盜系統、巡航控制和 ECO 模式交互，並更新其固件。

Zimperium 發布了一個概念驗證視頻，據視頻顯示，安全研究員用一個應用程序掃描附近的小米滑板車，並通過其防盜功能禁用了它們。 Zimperium稱，該應用程序可以在大約 328 英尺（100米）範圍內的任何 M365 上工作。

Zimperium 發現的該缺陷與 2017 年發現的 Segway 滑板漏洞相似。美國網路安全公司 IOActive 發現，不用經過身份驗證，即可通過藍牙更新，手動向 Segway 應用程序發送命令，從而獲得對遠程控制板的完全遠程訪問。

Zimperium稱，已經向小米報告了這個漏洞，但小米並未立即回復。

雷鋒網編輯已與小米公關聯繫求證此事，截至 2 月 13 日下午本文發布前尚未獲得回復。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！