更多

    小米米家電動滑板車有漏洞 遙距急剎停易生意外(更新)

    Mickey Chan
    Mickey Chan
    愛模擬飛行、希望終有一日回到單車上的宅,眼鏡娘控。座右銘: 1.膽固醇跟美味是成正比的; 2.所有人都可以騙,但絕對不能騙自己; 3.賣掉的貨才是錢,不賣的收藏品不值一文; 4.踩單車,是為了吃更多美食! 5.正義的話語,不一定出自正義之人的口;

    [2019-3-26 更新] 新增小米香港方面有關米家電動滑板車 OTA 更新資料

    [更新]小米方面就本篇報道作出回應(見下文)

    小米旗下品牌米家所推出的一款電動滑板車,被發現存有漏洞,讓第三者可以遙距控制,令滑板車急速加速或剎停,可能會造成意外。(小米已於 3 月 18 日推出更新,修正有關漏洞)

    這個漏洞是由保安公司 Zimperium 日前公布,他們還發布了一條影片,示範在一個交通燈口弄停了一部米家電動滑板車剎停,令那人無法開動滑板車過馬路。

    [ot-video][/ot-video]

    據 Zimperium 表示,這是他們 zLabs 小組研究小米的物聯網產品的保安的一部分,而他們著眼於這款 Xiaomi M365 電動滑板車,是因為這滑板車的市場佔有率很高。

    Xiaomi M365 本身可以透過官方 App 以藍牙連結來管理、防盜和設定,而滑板車是以密碼來保護的。但 Zimperium 就發現滑板車的認證過程並沒有正確使用密碼,令到第三方可以在沒有密碼的情況下執行所有指令。

    米家電動車本身有手機 App ,可以透過藍牙來設定、管理和更新靭體。
    米家電動車本身有手機 App ,可以透過藍牙來設定、管理和更新靭體。

    Zimperium 的示範影片中顯示,他們寫了一個惡意程式,來探測附近有沒有 M365 滑板車,並啟動防盜系統,令那部滑板車無法動彈。據說,那個程式可以在家 100 公尺內鎖住滑板車,如果惡意使用這個漏洞的話,甚至可以將惡意軟件嵌入特定的滑板車靭體裡,令滑板車突然加速或急速剎停,釀成意外。

    如果在馬路中心行駛中被急剎停的話,情況會很危險。
    如果在馬路中心行駛中被急剎停的話,情況會很危險。

    Zimperium 表示他們已於 1 月向小米方面報告有關漏洞,而小米方面就表示他們公司內部已經掌握了問題所在,不過就沒有說明何時推出更新堵塞漏洞並且將會透過 OTA 更新軟件。

    小米已知悉小米米家電動滑板車可能存在漏洞,讓黑客能夠藉此惡意妨礙滑板車正常運作。

    當我們意識到這個漏洞後,已立即進行修復工作,並攔截所有未經授權的應用程式。小米的產品開發及保安團隊亦將盡快推出 OTA (Over-the-Air)  軟件更新。

    小米非常重視用戶及保安社群的寶貴意見,並致力作出相應改進以建造更好及安全的產品。

    雖然電動滑板車在香港不能合法使用,不過仍有不少商店以水貨方式進貨發售。
    雖然電動滑板車在香港不能合法使用,不過仍有不少商店以水貨方式進貨發售。

    小米香港在 3 月 26 日通知《 PCM 》 指已經推出米家電動滑板車的 OTA 更新:

    小米已於 2019 年 3 月 18 日推出米家電動滑板車 OTA 軟件更新(版本 1.5.1 )用於解決早前所發現的保安漏洞。

    用戶須安裝最新的米家( Mi Home )應用程式( Android 版本 5.5.0 / iOS 版本 4.13.101 )以接收最新的米家電動滑板車 OTA 軟件更新。

    您會感興趣的內容

    相關文章