Segway / 小米平衡车被爆漏洞百出
虽然平衡车在去年大流行的时候有着许多灾难般的起火事件,不过被小米与 Ninebot 接手的平衡车界大厂 Segway,旗下的产品倒没发生过什么大事件。直到最近,在资安顾问公司 IOActive 的揭露下,才知道 Segway Ninebot Mini Pro(国际版的小米九号平衡车)其实曾是款信息安全漏洞百出的产品,将可轻易地被有心人士破解完全控制,改变设定、速度、方向或甚至瞬间让 Mini Pro 失去动力等。简单的说,就是可以完全通过蓝牙遥控的方式掌控你脚下平衡车的一切动作。
IOActive 指出,虽说现有法规针对平衡车的电池等机械结构方面都有所规范,但对于内在固件以及信息安全的问题则是没有太多的着墨。而这样的结果,就是发售时并没有对信息安全做太多加强的 Mini Pro,在专家地手中就被轻易地以逆向工程破解,可在使用者未察觉的状态下,刷入恶意的固件来取得平衡车的操控权,甚至获取使用者手机提供给平衡车做为防盗用途的 GPS 位置信息。IOActive 表示,这款产品先是都采用同样的认证密码,针对原厂固件的部分也没有保密的认证机制,所以才能够让有心人士可以轻松破解并且取得控制。
对此,他们则是建议官方采用蓝牙的认证协定,并尽速为固件提供加密机制,也表示应该要把位置信息予以隐藏才是正道。而这样的建议也很快地在数个月之前被官方给采纳,并且于近期的新固件中修正了大部分的问题。对使用者这边,IOActive 则是建议尽量少用不必要的遥控功能并安装最新的官方固件更新。是说,其实平衡车的漏洞问题也不是第一天被人爆出了,只希望在大公司的指正之后,官方真的可以为这些产品提供更完善的信息安全保护,否则要是骑着 Segway 出了什么问题,可能责任就很难厘清了啊。
经由: Engadget, CNet
来源: IOActive