Une faille permet de contrôler à distance une trottinette électrique Xiaomi M365

Cette découverte a été faite par l'équipe de sécurité informatique de Zimperium, qui en explique le fonctionnement sur son blog. La trottinette électrique peut être contrôlée en Bluetooth, via une application sur son smartphone, dont l'accès est protégé par un mot de passe.

« Au cours de nos recherches, nous avons remarqué que le mot de passe n’est pas utilisé correctement dans le cadre du processus d’authentification avec la trottinette et que toutes les commandes peuvent être exécutées sans le mot de passe », expliquent les chercheurs.

Un pirate pourrait donc utiliser cette brèche pour contrôler à distance toutes les fonctionnalités disponibles dans l'application Xiaomi (dont la mise à jour du firmware), sans avoir besoin de la moindre authentification. Arrêter la trottinette, la ralentir ou accélérer devient alors possible. Une vidéo de démonstration a été mise en ligne.

Xiaomi a été prévenu en amont de la publication par Zimperium. La société a répondu aux chercheurs que la faille était déjà connue publiquement et qu'elle provenait d'une tierce partie. Rien par contre sur l'arrivée d'un éventuel correctif.

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !