Las ultimas noticias en tecnología, ciencia y cultura digital.

Lo que les faltaba a los patinetes eléctricos: ya se pueden hackear para provocar accidentes

11.0K
11
Save
Captura: Zimperium (YouTube)

La gente sigue teniendo accidentes con los patinetes eléctricos. Algunos circulan ilegalmente por las aceras, otros viajan con alguien más en el vehículo, infringen las normas de tráfico, los usan menores de edad y casi nadie usa casco. Pero ahora existe una nueva razón para que te lo pienses dos veces antes de subirte a uno de esos cacharros de dos ruedas, y no tiene nada que ver con tu continuo desprecio por la seguridad vial: los hackers.

Este martes, la firma de seguridad Zimperium publicó un informe que detalla una serie de fallos de seguridad del patinete eléctrico M365 de Xiaomi, que lo hacen susceptible de ser hackeado. Más concretamente, Zimperium descubrió que estos patinetes eléctricos tienen una contraseña Bluetooth para acceder a sus funciones, pero “la contraseña no se usa correctamente como parte del proceso de autenticación del patinete, y todos los comandos se pueden ejecutar sin esa contraseña”. Un hacker podría bloquear cualquier patinete eléctrico M365 con un ataque de denegación de servicio, implementar malware para controlar por completo el patinete y hacer que acelere o frene de forma remota.

Advertisement

Los investigadores pudieron controlar uno desde una distancia de 100 metros, y publicaron un vídeo en YouTube que muestra su aplicación en el mundo real.

En el vídeo, un “hacker” apunta a un individuo que se encuentra en un cruce de peatones, causando que el patinete frene de forma remota. En la descripción del vídeo, los investigadores escribieron que usaron un malware para encontrar patinetes M365 cercanos y luego deshabilitaron el patinete a través de su función antirrobo “sin usar ninguna autenticación o consentimiento del usuario”.

Zimperium dijo en su informe que alertó a Xiaomi sobre estos fallos de seguridad, pero que aún no lo han resuelto. “Desafortunadamente, la seguridad de los patinetes aún debe ser actualizada por Xiaomi (o por cualquier tercero con el que trabajen) y no puede ser fácilmente arreglada por el usuario”, escribió uno de los investigadores. Un portavoz de Xiaomi le dijo a The Verge que estaban investigando este problema.

Existe la posibilidad de que los patinetes de Xiaomi sean también usados ​​por otras marcas o vendidos bajo otros nombres y que tengan también estas mismas vulnerabilidades, según los propios investigadores.

Advertisement

“Podría afectar a cualquier compañía que utilice patinetes Xiaomi y que no haya deshabilitado o reemplazado el módulo bluetooth de Xiaomi”, dijo a The Verge Rani Idan, investigador de seguridad de Zimperium. “Además, los patinetes de Xiaomi son vendidos con diferentes nombres, así que muchos más podrían verse afectados”.

Bird, una de las principales compañías de patinetes eléctricos de los Estados Unidos, le dijo a Verge que los suyos no se habían afectados por el fallo de seguridad detallado en el informe de Zimperium. Y Lime, la otra compañía líder en este sector, dijo que no tienen ningún patinete M365 en funcionamiento.

Advertisement

Como señaló Idan, aún no está claro si otras compañías podrían tener patinetes afectados y si aún siguien siendo susceptibles a este posible ataque. Más de uno ya tiene que hacer una visita al hospital después de algún error humano, por lo que será mejor si evitamos sumarle más riesgos añadidos.

Actualización al 14 de febrero de 2019

Xiaomi ha enviando un correo a Gizmodo en Español explicando que el fallo de seguridad será solucionado mediante una actualización de seguridad que llegará el 15 de marzo como muy tarde. Este es el comunicado oficial de la compañía.

Xiaomi es consciente de la vulnerabilidad que hackers con intenciones maliciosas pueden explotar para controlar el Mi Electric Scooter. Tan pronto como nos enteramos de esta vulnerabilidad, hemos estado trabajando para solucionarlo y eliminar todas las aplicaciones no autorizadas. Una actualización de OTA estará disponible a más tardar el 15 de marzo. Xiaomi valora los comentarios de la comunidad de seguridad, y estamos comprometidos a mejorar constantemente en base a todos los comentarios para construir productos mejores y más seguros.

Share This Story