Een populair elektrisch scootermodel, gefabriceerd in China, kan op afstand worden gehackt en vergrendeld. Volgens een “proof of concept” -test van beveiligingsonderzoeksbureau Zimperium kunnen deze elektrische scooters op afstand worden gebruikt en bediend. Hackers kunnen de scooter op afstand accelereren of laten remmen, waardoor de rijder het risico loopt op een plotselinge verwonding of zelfs de dood. De elektrische scooter wordt de Xiaomi M365 genoemd en wordt momenteel gebruikt in combinatie met services voor het zonder dock delen van ritten in steden in de Verenigde Staten. Dit model is ook in Nederland verkrijgbaar.
Steun World Unity: alleen via uw maandelijks of eenmalige gift kunnen we de website draaiende houden en de leugens aanpakken. Deze steun is keihard nodig in deze zware economische tijden. Klik hier om te Doneren
Zimperium vond de fout in de Bluetooth-module van de scooter. Omdat de scooter zo is ontworpen dat gebruikers deze op afstand kunnen vergrendelen op de Bluetooth-app, is de scooter uiteindelijk kwetsbaar voor hacks van buitenaf, inclusief interferentie op afstand die de scooters halverwege de rit kan stoppen. Zimperium demonstreerde de hack door op willekeurige Xiaomi M365’s op straat te richten. De beveiligingsexperts waren in staat om de scooters tot op een afstand van 100 meter te besturen, waarbij commando’s naar de scooter werden gestuurd terwijl niets vermoedende mensen ermee reden. Verborgen in de menigte, kunnen de veiligheidsexperts de controle over een scooter overnemen, vertragen, vergrendelen of forceren om te versnellen.
Populaire elektrische scooters kwetsbaar voor gevaarlijke hacks
Schadelijke hackers kunnen theoretisch iedereen aanvalen die ze willen, nietsvermoedende rijders in het verkeer gooien of in risicovolle situaties brengen. Hackers zouden een Denial of Service-aanval (DoS) kunnen gebruiken om op afstand een M365-scooter te vergrendelen, rijders te laten stranden en grootschalige problemen te veroorzaken. Nog een stap verder, hackers zouden zelfs een malware-aanval kunnen starten en nieuwe firmware kunnen installeren waarmee de hacker de volledige controle over de scooter kan krijgen terwijl iemand ermee rijdt. Hackers kunnen dit goed doen via de Bluetooth-app, zonder wachtwoordverificatie, en ze kunnen het handsfree doen. Het beveiligingsbedrijf kon zelfs snel ongeautoriseerde software installeren en de volledige controle over de scooter krijgen. Ze konden alle functies gebruiken zonder verificatie.
Mensen maken al gebruik van de technologische kwetsbaarheid. Een goedkope Chinese hackset wordt naar verluidt op de zwarte markt verkocht. De kit stelt hackers in staat om herstel- en betalingsfuncties uit te schakelen die zijn ingesteld door ritverdelingsservices. Op deze manier kan de scooter worden gestolen van de ride-sharing-service.
De Xiaomi M365 wordt in China geproduceerd door Segway-Ninebot. Dit bedrijf heeft al te maken met defecte scooteraccu’s die willekeurig in vlammen opgaan. Sommige van deze defecte scooters zijn van de markt gehaald, maar de M365 is nog steeds een populair model dat in de hele VS wordt gebruikt. Rijders die delen met ritten zoals Bird hebben meer dan een jaar lang geweten over de kwetsbaarheid van de scooter en hebben betrokken scooters uit hun vloot verwijderd . Dit probleem zou echter opnieuw kunnen optreden als hackers misbruik blijven maken van de kwetsbaarheden in de draadloze technologie. Xiaomi-scooters worden soms omgedoopt en onder verschillende namen verkocht, dus het risico om gehackt te worden tijdens het rijden op een elektrische scooter, blijft bestaan.
Volgens Rani Idan, beveiligingsonderzoeker en directeur van platformen bij Zimperium, bestaat het risico voor “elke rit-deelservice die Xiaomi-scooters gebruikt” die “de Bluetooth-module van Xiaomi niet heeft uitgeschakeld of vervangen”. Idan waarschuwt: “Xiaomi-scooters zijn omgedoopt en verkocht onder verschillende namen, en die kunnen worden beïnvloed. ”
Bronnen: