Une faille critique permet de prendre le contrôle à distance des trottinettes M365, depuis un simple smartphone. Le fabricant chinois promet un correctif qui devrait résoudre le problème.
La médiatisation des failles de sécurité a parfois du bon. Suite à la révélation par Zimperium d’un risque d’attaque sur les trottinettes M365, le fabricant cherche à rassurer ses utilisateurs et indique, dans un communiqué, qu’il travaille désormais d’arrache-pied sur le problème. « Les équipes produits et sécurité de Xiaomi préparent une mise à jour OTA qui sera disponible au plus vite », est-il précisé.
Parallèlement, le fabricant explique qu’il comptait « bloquer l’accès à toute application non autorisé », sans toutefois préciser de quelles applications il était question et comment ce blocage allait être réalisé. En effet, les trottinettes M365 peuvent être pilotées par l’application officielle « Mi Home » de Xioami. Mais il existe également des applications tierces dans les boutiques applicatives Apple AppStore et Google Play qui permettent d’accéder aux mêmes fonctionnalités.
Cette appli peut bloquer toutes les trottinettes Xiaomi dans un rayon de cent mètres
Des chercheurs ont trouvé une faille dans l’application mobile permettant à n’importe qui de prendre le contrôle de l’engin via Bluetooth.
Les utilisateurs de trottinettes Xiaomi M365 vont devoir affronter un danger supplémentaire pendant leurs trajets. Désormais, ils ne seront non seulement exposés au trafic environnant, mais aussi aux hackers malveillants qui rôdent le long de leur route ! Les chercheurs en sécurité de Zimperium viennent en effet de publier sur GitHub les sources d’une application Android qui permet de verrouiller toutes ces trottinettes si elles se trouvent dans un rayon de cent mètres. Ce qui peut se révéler dangereux.
Cette application exploite une faille trouvée dans l’application mobile des Xiaomi M365. Celle-ci est capable de communiquer avec l’engin via Bluetooth et offre tout un tas de fonctionnalités comme verrouiller/déverrouiller la trottinette, récupérer des statistiques d’usage ou configurer le régulateur de vitesse. Tous ces réglages et informations ne sont accessibles, en théorie, qu’après une étape d’authentification par mot de passe.
Mais cette authentification est déficiente. « Le mot de passe n’est validé que du côté de l’application, mais la trottinette lui-même ne suit pas l’état de l’authentification », expliquent les chercheurs dans une note de blog. Résultat : il est possible d’exécuter n’importe quelle commande sur n’importe quelle trottinette, sans aucune authentification et sans que l’utilisateur ne soit averti. Il suffit d’être à proximité.
On peut même modifier le firmware
Selon Zimperium, un pirate peut non seulement verrouiller à distance ces trottinettes. Il peut également installer un firmware vérolé et prendre le contrôle total de l’engin. Il serait même possible d’accélérer ou de freiner depuis le smartphone. Les chercheurs disent avoir développé une preuve de concept permettant d’accélérer une trottinette à distance. Mais pour des raisons de sûreté, ils n’ont pas publié le code correspondant.
Contactée par Zimperium, la société chinoise a confirmé cette faille, mais n’a pas dit qu’elle allait la patcher à court terme. Car elle est logée dans un module logiciel développé par un tiers, ce qui semble compliquer la résolution du problème. En attendant, la seule solution pour protéger contre ces attaques, c’est de… mettre un casque.
A noter, enfin, que les Xiaomi M365 sont également la cible d’un autre hack, plus rustique celui-là. En effet, ce modèle est utilisé par la société Bird pour leur service de trottinette à la demande. Or, selon Numerama, il suffirait d’acheter un kit à 30 euros et d’utiliser un peu d’huile de coude pour supprimer la protection anti-vol et les utiliser à l’œil.
Source : 01net