El patinete eléctrico de Xiaomi, el modelo M365 scooter, presenta una vulnerabilidad que permite a un potencial atacante controlar de forma remota los controles del vehículo.
Uno de los componentes del M365 scooter, el módulo de conectividad Bluetooth que permite comunicar el vehículo con el smartphone, presenta una vulnerabilidad que lo expone a terceros, como ha descubierto la firma de ciberseguridad Zimperium.
La vulnerabilidad hace que la vinculación entre patinete y smartphone vía Bluetooth no solicite contraseña ni ningún otro tipo de credencial. Asimismo, el patinete puede comprometerse con la instalación de firmware malicioso sin que sus sistemas detecten que no es u programa oficial.
En conjunto, esta vulnerabilidad supone, como explica en su blog el director de Zimperium, Rani Idan, que un tercero puede acceder al patinete e instalar malware en él para tener control de forma remota. Es decir, un atacante con malas intenciones podría acelerar o frenar sin que el usuario pudiera evitarlo.
Idan ha aclarado que este descubrimiento se ha publicado después de haber sido notificado a Xiaomi. Desde la compañía aseguran que actualizarán una OTA para resolver el problema y harán un esfuerzo para eliminar todas las aplicaciones no autorizadas. Además recomiendan a los usuarios que no descarguen o utilicen aplicaciones de terceros que no estén autorizadas.