Les scooters électriques ont envahi les rues des grandes villes dans le monde entier et ont été considérés comme une gêne par certains. Ils peuvent également désormais être considérés comme un risque pour la sécurité.

 

Mardi, le chercheur Rani Idan de la société de revente de faille de sécurité Zimperium, basée à San Francisco, a révélé une vulnérabilité présente dans le scooter électrique Xiaomi M365 qui pourrait éventuellement permettre aux assaillants de contrôler à distance un véhicule, ce qui entraînerait des problèmes tels que l’accélération ou le freinage brusque.

Le problème réside dans la façon dont le scooter authentifie ses utilisateurs, ou plutôt dans l’absence d’authentification.

Selon Idan, les mots de passe utilisés pour authentifier les systèmes informatiques embarqués du scooter ne sont pas “correctement utilisés” lors du processus d’authentification. Comme le mot de passe n’est validé que du côté de l’application, le scooter ne surveille pas les états d’authentification en soi – et donc “toutes les commandes peuvent être exécutées sans le mot de passe.”



Sans authentification ni consentement de l’utilisateur, le chercheur a pu verrouiller le scooter M365 par une attaque par déni de service (DoS) contre le mécanisme antivol du scooter, contrôler le freinage et l’accélération et poser les bases nécessaires à “l’installation d’un nouveau firmware malveillant qui peut prendre le contrôle total sur un scooter. ”

Afin de démontrer cette vulnérabilité, Zimperium a créé une preuve de concept(PoC) conçue comme une application malveillante, capable de rechercher des scooters Xiaomi M365 à proximité et d’envoyer des messages malveillants capables d’exploiter la vulnérabilité.

Selon Idan, cet outil permet de s’attaquer aux scooters vulnérables dans un rayon de 100 mètres. Une attaque qui verrouille le scooter à distance peut être visionnée dans la vidéo ci-dessous:

Les failles de sécurité qui peuvent affecter la sécurité des véhicules Xiaomi M365 sont assez graves, mais il est également à noter que ces véhicules sont également utilisés, modifiés et proposés par des fournisseurs tiers dans le cadre de programmes de location de scooters.

Zimperium a déclaré que Xiaomi avait été informé de ses découvertes et que le 28 janvier 2019, la société avait déclaré qu’il s’agissait d’un “problème connu en interne” causé par des “produits tiers”. Cependant, Zimperium dit que les scooters n’ont pas encore été corrigés. ZDNet a contacté Xiaomi et l’article sera mis à jour si nous obtenons plus d’information.

Cet article est une traduction de “Xiaomi electric scooters vulnerable to remote hijacking” initialement publié sur ZDNet.com

Let a comment