La firma de seguridad Zimperium reveló esta semana que un error de seguridad en el scooter eléctrico de Xiaomi, el modelo M365, permite controlar el vehículo a distancia con ayuda de un teléfono inteligente y la conexión Bluetooth.
De acuerdo al reporte, una investigación determinó que el sistema no está utilizando correctamente la contraseña como parte del proceso de autenticación, permitiendo ejecutar todos los comandos sin necesidad de verificar la identidad del usuario en el vehículo.
Esto significa que la contraseña únicamente se valida en la aplicación, mientras el scooter no realiza un seguimiento del estado de autenticación, por lo que una versión maliciosa de la aplicación permitiría controlar fácilmente el dispositivo a distancia.
En el video compartido por Zimperium se muestra como lograron desactivar uno de los scooter mediante el uso de la función antirrobo, sin tener que utilizar una contraseña o solicitar permiso al usuario.
Mediante este método, la firma asegura que pueden bloquear cualquier scooter M365 e instalar un nuevo firmware malicioso para tomar el control total del scooter, así como hacer que frenen o aceleren repentinamente al estar en movimiento.