Hacking : une appli pour piloter les trottinettes Xiaomi à proximité

Les chercheurs en sécurité de Zimperium ont trouvé une faille dans l'application mobile Xiaomi qui permettrait de prendre le contrôle d'une trottinette Xiaomi à distance. Plus particulièrement, ceci touche le modèle Xiaomi M365 qui est très répandu.

En plus de se méfier du trafic environnant, si vous êtes un pilote de trottinette il va falloir vous méfiez des hackers... Cet acte de sabotage est réalisable lorsqu'une trottinette est à portée (environ 100 mètres) et il est alors possible de verrouiller/déverrouiller l'appareil à distance. Mais aussi : configurer le régulateur de vitesse, freiner, accélérer ou récupérer les statistiques d'utilisation. Le tout à distance et avec potentiellement une personne sur la trottinette !

Le problème réside au niveau de l'authentification puisque celle-ci est validée par l'application seulement, mais la trottinette en elle-même ne s'assure pas de l'état de la phase d'authentification. Avec une interaction directe avec la machine, on peut alors lui envoyer des commandes puisqu'il suffit de bypasser l'authentification.

Pour l'instant Xiaomi se semble pas en mesure de corriger cette faille à court terme, notamment car il s'agit d'un module logiciel développé par une société tierce.

Voici une vidéo de démonstration PoC de cet exploit :

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian BURNEL

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

Nombre de posts de cet auteur : 5471.Voir tous les posts

One thought on “Hacking : une appli pour piloter les trottinettes Xiaomi à proximité

  • Bonjour,
    Ma trot a du être connecté à un autre utilisateur puisque lorsque je veux me connecter avec l’appli Xiaomi home, elle me dit qu’un autre utilisateur est déjà connecté…
    Que puis je faire?
    Merci

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.