Populært el-løbehjul er yderst sårbart: Kan styres udefra af hackere

Det er ifølge sikkerhedsfirma alt for nemt at installere malware på et populært kinesisk el-løbehjul. Det gør det muligt for cyberkriminelle at overtage styringen.
Illustration: Xiaomi

Forskere fra it-sikkerhedsfirmaet Zimperium advarer om, at et populært kinesisk el-løbehjul, Xiaomos M365, indeholder en alvorlig it-sårbarhed. Det skriver Wired.

Fejlen gør det muligt for cyberkriminelle at overtage ​​og kontrollere løbehjulets speeder og bremse.

Ifølge Rani Idan, der er forskningsleder i Zimperium, indeholder el-løbehjulet tre softwarekomponenter: batteristyring, firmware, der koordinerer mellem hardware og software, og et Bluetooth-modul, der giver brugerne mulighed for at kommunikere med deres løbehjul via en app.

Det er sidstnævnte feature, der gør løbehjulet sårbart.

Rani Idan fandt ud af, at han kunne etablere en forbindelse til løbehjulet via Bluetooth - vel at mærke uden password.

Derefter kunne han frit installere ondsindet firmware på scooteren - for der er ingen kontrol med, om den nye software er en officiel, pålidelig Xiaomi-opdatering.

Med andre ord kan en hacker uploade malware til løbehjulet og dermed opnå fuld kontrol over det.

»En angriber kan pludselig bremse eller accelerere i trafikken, eller hvad man nu kan forestille sig af alvorlige konsekvenser,« siger han.

Xiaomi har ikke svaret på flere henvendelser fra Wired om en kommentar. Men den kinesiske virksomhed bekræfter dog over for Zimperium, at »problemet er kendt internt«.

Herhjemme har Folketinget vedtaget en forsøgsordning, der fra januar 2019 gør motoriserede løbehjul, selvbalancerende køretøjer og motoriserede skateboards lovlige på de danske cykelstier.

Xiaomi-løbehjulet sælges i Danmark, men det vides i skrivende stund ikke, om den præcise version, der sælges på det danske marked, indeholder den nævnte sårbarhed.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Lars Kristensen

Vi har forsøgt at dække alle de her emner omkring el-løbehjul i denne artikel, men dette var en vinkel, vi ikke havde tænkt på.

Det er et sindssygt spændende produkt, som i høj grad har fået fat på det Amerikanske marked. LIME er jo en af de helt store virksomheder med en vækst, der nærmest synes usandsynlig - og det er nogle meget tunge drenge, der har investeret i selskabet.

Det er dog klart, at der er nogle komplikationer - og mon ikke, at det nok skal blive løst. Hvordan med TESLA m.v., var der ikke også historier om, at de kunne hackes?

  • 0
  • 0
Anders Bering

Så hackerne skal enten løbe/køre ved siden af dig eller stå ved siden af dig ved et lyskryds længe nok for at forbinde til løbe hjulet.

Holde forbindendelsen længe nok for at skrive ny firmware ned hvilket er ca 30 - 40 sekunder (ved faktisk ikke om det kan køre mens man skriver firmwaren ned har ikke lige prøve det).

Og alt dette skal de gøre forudsat at du ikke ligger mærke til at dit løbehjul begynder at lave beep lyde som indikere at noget er galt og derved stopper og/eller slukker for det.

Uder over det er der stadig en mekanisk bremse som de ikke kan styre.

Så jeg tænker dette er et søgt eksemple.

  • 0
  • 1
Frithiof Andreas Jensen

Eller også skal hackerne bare bruge en bedre antenne? En 18 DBi Yagi antenne fra Kina burde give mindst 2 km, i praksis så langt man kan se!

"Internet of Trash" opstår fordi ingen tänker en bönne over det de laver!

Til gengäld kan vi köbe nogle motorer og batterier billigt på auktionen efter löbehjuls-bonanzet går konkurs.

  • 0
  • 0
Anders Bering

Det er rigtig, tænker dog ikke det er to vejs kommunikation.
Så det er en lidt fire and forget ting og ikke overtage kontrollen. du er dog et eller andet sted nød til at vide hvad firmware der da alt firmware over 1.4 er krypteret og skal behandles anderledes.

Nu har Xiaomi m365 eksisteret i over 2 år og er et per elektronik standard i dag gamelt.
MI har allerede lanceret en ny Pro udegave a samme løbehjul (ved dog ikke om det er mere sikkert).
Danmark er håbløs bagefter med hensyn til dette.

Xiaomi m365 er et af de mest udbredte løbehjul i kina og USA så tænker at hvis overstående var et meget udbredt fanomen have vi nok hørt om det.

Men det er sjov at det sekund det bliver tilladt i danmark så går der ikke længe før folk panikker.

Siger ikke at sikkerhede en god her men man kan også lave så meget sikkerhed at tingene bliver ubrugelige.

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize