2月 13日消息,小米公司旗下发布的小米 M365电动滑板车近日被外媒爆出严重漏洞,据外媒报道,一家名为“Zimperium”的以色列安全公司对外发布公告表示,其公司安全人员在对小米 M365电动滑板车进行研究时发现一个严重的安全漏洞,黑客可利用该漏洞对指定车辆进行远程控制。
该漏洞来源于 M365电动滑板车的通讯命令执行过程,由于小米 M365电动滑板车是通过蓝牙来进行通信,且通过蓝牙通讯传输的“所有命令”都可以在没有密码的情况下完全执行,而 M365滑板车本身却没有对通讯的命令进行身份确认或验证,需要验证密码的地方仅在手机应用端验证。
研究人员表示,黑客可以利用该漏洞实现全权限控制,,比如用户在使用小米 M365电动滑板车时,如果被黑客控制紧急加速或刹车,那么将严重威胁使用者的人身安全。
除此之外,Zimperium 安全研究人员还能利用漏洞实现“无需身份验证”直接与该设备的防盗系统、巡航控制等高级权限交互,并能实现固件更新。
同时 Zimperium 还对外发布了一个漏洞演示视频,研究人员通过利用漏洞的应用程序来扫描附近100米范围内的所有 M365电动滑板车,通过其防盗功能实现对指定车辆进行禁用。
目前,Zimperium 公司已将该漏洞提交给小米公司,但尚未获得回复。
