Sujets chauds du moment

La trottinette hackée de Xiaomi montre les dangers de l'avenir mobile

mobility electric 10b
© Leika production/Shutterstock

Alors qu'en Allemagne les trottinettes électriques attendent toujours d'être homologués, dans d'autres parties du monde ils ils envahissent déjà les rues de nombreuses grandes villes. Vous pourriez penser que le seul risque est d'être percuté par l'une de ces trottinettes, mais il y a un danger bien plus grave.

Une vidéo publiée par la société de sécurité Zimperium montre ce que pourrait être ce danger. Les chercheurs veulent mettre en garde contre un bug critique dans le populaire scooter électrique M365 de Xiaomi, qui est également utilisé par les sociétés de location telles que Lyft ou Bird. Ce bug permet aux attaquants distants de prendre le contrôle du scooter et d'influencer des fonctions critiques telles que l'accélération et la décélération.

Les experts utilisent la structure logicielle de la trottinette. Elle se compose de trois éléments : la gestion de la batterie, le micrologiciel pour la communication entre le logiciel et le matériel, et un module Bluetooth. Via ce dernier, les propriétaires peuvent "communiquer" avec le Xiaomi M365 via le smartphone.

Rani Idan, directrice de la recherche sur les logiciels chez Zimperium, a découvert que vous pouviez vous connecter à la trottinette sans qu'on vous demande un mot de passe ou quoi que ce soit d'autre. Ensuite, un nouveau logiciel peut être installé en quelques secondes, rien ne vérifie s'il vient officiellement du fabricant. En d'autres termes : les attaquants peuvent facilement installer des logiciels malveillants et obtenir un contrôle total sur la trottinette.

L'erreur ne pouvait pas être corrigée immédiatement

On peut imaginer ici des scénarios catastrophes, dans lesquels par exemple les utilisateurs de la trottinette se retrouvent soudainement ralentis. Bien sûr, avec un tel appareil, il est plus facile de sauter sur le côté afin d'éviter d'avoir un accident, mais il n'est pas improbable que vous ne réagissiez pas assez vite à cause del a surprise ou que la trottinette seule entraîne un accident.

P90276747 highRes x2city lissabon 09 2
Ces appareils sont très populaires dans certaines villes. © BMW

Comme si cela n'était pas déjà assez effrayant, il y avait aussi la déclaration de Xiaomi à ce sujet. Selon Zimperium, Xiaomi avait été informé du problème, il avait répondu qu'il était conscient du souci mais qu'il n'était pas en mesure de le résoudre lui-même. Cela s'explique par le fait que le fabricant reçoit l'interface Bluetooth d'un tiers et ne la programme pas lui-même.

Les trottinettes électroniques ont l'avenir devant elles

Ce n'est pas la première fois que l'un des véhicules dits légers électriques peut être piraté. En 2017, les chercheurs ont découvert une vulnérabilité critique dans les hoverboards Segway MiniPro. Et ce ne sera certainement pas la dernière brèche qui se glissera dans ces véhicules.

C'est effrayant, surtout pour l'avenir. Parce que les petits scooters électroniques ont l'avenir devant elles et il ne faudra pas longtemps avant que, par exemple, les petits fabricants se lancent sur le marché avec des logiciels un peu bâclés qui représentent un risque potentiel. Il est urgent d'établir des lignes directrices pour assurer la sécurité !


MAJ : le problème a été réglé

Le constructeur chinois s'est  récemment exprimé sur ce problème de mis à jour et, bonne nouvelle, le problème est réglé. Il a déclaré les propos suivants :

"Le 18 mars 2019, Xiaomi a mis à disposition des propriétaires du Mi Electric Scooter une mise à jour logicielle OTA (Version 1.5.1), dont l’objectif de est corriger les vulnérabilités détectées le mois dernier.

Pour la recevoir, les utilisateurs doivent installer la dernière version de l’application Mi Home / Xiaomi Home app : Android version 5.5.0 ou iOS version 4.13.101."

Via : Wired

  Les modèles de 2023 Les modèles de 2022 Les modèles de 2021
Produit
Illustration Samsung Galaxy Watch 6 Product Image Samsung Galaxy Watch 6 Classic Product Image Samsung Galaxy Watch 5 Product Image Samsung Galaxy Watch 5 Pro Product Image Samsung Galaxy Watch 4 Product Image Samsung Galaxy Watch 4 Classic Product Image
Note
Pas encore testé
Lire la prise en main de la Galaxy Watch 6
Pas encore testé
Lire la prise en main de la Galaxy Watch 6 Classic
Pas encore testé
Lire le test de la Samsung Galaxy Watch 5 Pro
Lire le test de la Samsung Galaxy Watch 4
Pas encore testé
Comparaison des prix
Aller au commentaire (8)
Ce article vous a-t-il plu? N'hésitez pas à le partager!
Articles recommandés
Derniers Articles
Notification push Article suivant
8 Commentaires
Ecrire un nouveau commentaire :
Tous les changements seront sauvegardés. Aucun brouillon n'est enregistré pendant l'édition
Ecrire un nouveau commentaire :
Tous les changements seront sauvegardés. Aucun brouillon n'est enregistré pendant l'édition

  • Konsau 23
    Konsau 15 févr. 2019 Lien du commentaire

    A ajouter aux 8 milliards d'assistants vocaux bientôt piratés ?

    louis hory


  • 30
    phil 13 févr. 2019 Lien du commentaire

    De toute façon, c'est déjà le cas sur nos voitures thermiques actuelles via la prise ODB, la seule différence est que là c'est à distance... le résultat final est presque le même nan ?


  • Quasar 27
    Quasar 13 févr. 2019 Lien du commentaire

    C'est bien pour ça que je ne suis pas près d'avoir un véhicule connecté dont les accès à des organes de sécurité sont trop faciles.

    louis horyphil


    • Jerome69Paris 59
      Jerome69Paris 13 févr. 2019 Lien du commentaire

      D'un autre côté, qui sait réellement si son propre véhicule n'est pas vulnérable à ce genre d'attaques informatiques ? Celui qui roule en Lada ou en 2CV peut-être. 😊

      Compte désactivélouis hory


  • Jerome69Paris 59
    Jerome69Paris 13 févr. 2019 Lien du commentaire

    Effrayant, surtout connaissant le peu de morale dont sont dotés certains dans ce monde remplis de fous, infiniment plus nombreux en liberté qu'enfermés.

    Signé : un fou qui s'ignore 😜

    louis horyphil


    • louis hory 74
      louis hory 15 févr. 2019 Lien du commentaire

      Je me souviens que l'on a présenté il y a déjà quelques temps (je ne sais plus où, possiblement ici) une vidéo où un hacker prenait les commandes depuis l'extérieur des éclairages d'un immeuble de bureaux (cela se passait de nuit quand les pièces étaient vidées de leurs occupants)

      La personne pouvait intervenir car, par facilité, aucun mot de passe n'était installé d'origine sur les objets connectés.

      Jerome69Paris


      • Jerome69Paris 59
        Jerome69Paris 15 févr. 2019 Lien du commentaire

        Dingue. Les hackers ont de beaux jours devant eux avec tous ces objets connectés souvent insuffisamment protégés.

        louis hory


      • louis hory 74
        louis hory 16 févr. 2019 Lien du commentaire

        Il semble me rappeler que c'était pour justement démontrer la légèreté avec laquelle à la fois les constructeurs et les utilisateus agissent.

        (-63)

        Jerome69Paris

Ecrire un nouveau commentaire :
Tous les changements seront sauvegardés. Aucun brouillon n'est enregistré pendant l'édition