Hacking : une appli pour piloter les trottinettes Xiaomi à proximité

Les chercheurs en sécurité de Zimperium ont trouvé une faille dans l'application mobile Xiaomi qui permettrait de prendre le contrôle d'une trottinette Xiaomi à distance. Plus particulièrement, ceci touche le modèle Xiaomi M365 qui est très répandu.


En plus de se méfier du trafic environnant, si vous êtes un pilote de trottinette il va falloir vous méfiez des hackers... Cet acte de sabotage est réalisable lorsqu'une trottinette est à portée (environ 100 mètres) et il est alors possible de verrouiller/déverrouiller l'appareil à distance. Mais aussi : configurer le régulateur de vitesse, freiner, accélérer ou récupérer les statistiques d'utilisation. Le tout à distance et avec potentiellement une personne sur la trottinette !

Le problème réside au niveau de l'authentification puisque celle-ci est validée par l'application seulement, mais la trottinette en elle-même ne s'assure pas de l'état de la phase d'authentification. Avec une interaction directe avec la machine, on peut alors lui envoyer des commandes puisqu'il suffit de bypasser l'authentification.

Pour l'instant Xiaomi se semble pas en mesure de corriger cette faille à court terme, notamment car il s'agit d'un module logiciel développé par une société tierce.

Voici une vidéo de démonstration PoC de cet exploit :

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian B.

Co-Fondateur d'IT-Connect, je souhaite partager mes connaissances et expériences avec vous, et comme la veille techno' est importante je partage aussi des actus.

florian has 1855 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.