Comme l’indique un rapport publié le 12 février par la société de sécurité Zimperium, les trottinettes électriques Xiaomi M365 ont une faille de sécurité qui peut permettre aux pirates de les contrôler.
Les trottinettes électriques Xiaomi M365, mais aussi celles de Lime et Bird ?
À distance, il est donc possible de faire freiner ou de faire accélérer les Xiaomi M365 alors que l’utilisateur est en train de rouler. Le hacker n’a pas besoin d’accès physique aux trottinettes et peut se situer jusqu’à 100 mètres de celles-ci, comme le montre la vidéo de Zimperium.
Selon la société de sécurité, la faille qui permet de prendre le contrôle des trottinettes électriques Xiaomi M365 se situe au niveau du système Bluetooth de l’appareil. À noter que c’est celui-ci même qui gère plusieurs fonctionnalités comme l’antivol, la vitesse, mais aussi les mises à jour. Par conséquent, c’est au Bluetooth que les chercheurs de Zimperium se sont attaqués pour prendre le contrôle des véhicules électriques.
Toutes les fonctionnalités qui y sont liées sont protégées par un mot de passe, mais le problème est situé dans le fait que seule l’application est concernée par celui-ci, contrairement aux trottinettes Xiaomi elles-même. Zimperium a donc crée une application dédiée à cet usage, sans avoir besoin d’identifiant et de mot de passe pour prendre le contrôle des options liées au Bluetooth.
Dans les faits, une telle faille signifie donc que les attaquants peuvent prendre le contrôle de la vitesse des trottinettes Xiaomi M365 pour les faire accélérer ou freiner sans que l’utilisateur à son bord ne puisse réagir.
Logiquement, Zimperium a informé Xiaomi de la faille, mais la firme n’aurait pas encore déployé de mise à jour pour régler cette importante faille de sécurité. La société de sécurité s’est également penchée du côté de Lime et de Bird pour savoir si le problème existait avec leurs trottinettes. Pour sa part, la startup Lime a déclaré qu’elle n’avait jamais eu ce genre de problème, car sa flotte de véhicules en libre-service n’utilise pas de Xiaomi M365. Bird a déclaré connaître la faille depuis un an, précisant que ses trottinettes ne sont pas affectées.
MISE À JOUR — 14/02 : Voici la déclaration de Xiaomi au sujet de la faille.
« Xiaomi apporte le plus grand soin à la conception et à la fabrication de ses produits, et prend très à cœur les retours de ses utilisateurs ainsi que la sécurité de sa communauté.
C’est pourquoi, dès que nous avons été informés de la possibilité pour des hackers mal intentionnés, de prendre contrôle à distance des trottinettes en marche, nous avons commencé à travailler sur une solution pour y remédier et bloquer l’accès à toute application non autorisée.
En parallèle, les équipes produits et sécurité de Xiaomi préparent une mise à jour OTA qui sera disponible au plus vite.
Nous sommes pleinement engagés dans l’amélioration constante de nos produits et services, notamment sur la base des retours reçus, afin de proposer des produits toujours performants et plus sûrs. »
MISE À JOUR : Voici la seconde déclaration de Xiaomi.
Hier (18 mars 2019), Xiaomi a mis à disposition des propriétaires du Mi Electric Scooter une mise à jour logicielle OTA (Version 1.5.1), dont l’objectif de corriger les vulnérabilités détectées le mois dernier.
Pour la recevoir, les utilisateurs doivent installer la dernière version de l’application Mi Home / Xiaomi Home app : Android version 5.5.0 ou iOS version 4.13.101.
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
