Abo
  • IT-Karriere:

Xiaomi-Hack: Go Scooter, stop Scooter

Xiaomis Scooter mit Elektroantrieb haben eine drastische Sicherheitslücke: Die Scooter können per Bluetooth ferngesteuert werden.

Artikel veröffentlicht am ,
Xiaomis Scooter M365 lässt sich per Bluetooth übernehmen.
Xiaomis Scooter M365 lässt sich per Bluetooth übernehmen. (Bild: Xiaomi)

Schnell noch um die Ecke zum Bäcker scooten. Mit dem elektrischen Tret-Roller muss man dafür nicht mal groß treten. Allerdings lässt sich die Steuerung des Scooters M365 von Xiaomi komplett übernehmen. Hacker können den Scooter einfach abrupt abremsen lassen. Das könne im Straßenverkehr tödliche Folgen haben, sagt die Sicherheitsfima Zimperium, die die Lücke entdeckt hat.

Stellenmarkt
  1. Triaz GmbH, Freiburg
  2. Stadtwerke München GmbH, München

Der Scooter kann über Bluetooth mit einer App gesteuert werden. Mit ihr kann beispielsweise der Diebstahlschutz aktiviert und deaktiviert werden, die Geschwindigkeit geregelt oder die Firmware des Scooters aktualisiert werden. Die App verwendet zwar einen Passwortschutz, das Passwort gilt allerdings nur für die App und nicht für den Scooter. Der führt die per Bluetooth gesendeten Befehle auch ohne Passwort aus. Die Sicherheitsforscher können die Bluetooth-Steuerung der Roller übernehmen.

Bei den Angriffszenarien ist laut den Sicherheitsforschern ein Denial-of-Service denkbar, der den Scooter unbenutzbar macht. Zudem sei es möglich, Schadsoftware auf den Scooter zu spielen und so die volle Kontrolle über das Gerät zu erhalten. Einzelnen Scootern können Kommandos geschickt werden, mit denen sie beispielsweise abrupt gesperrt werden können.

Scooter per App fernsteuern

Zimperium hat eine App Proof-of-Concept erstellt, mit der der Diebstahlschutz jedes beliebigen Xiaomi M365 Scooters im Umkreis von hundert Metern deaktiviert werden kann. Die App möchte das Unternehmen aus Sicherheitsgründen nicht veröffentlichen.

Xiaomi wurde über die Sicherheitslücke informiert, die Reaktion hat Zimperium in einem Blogeintrag veröffentlicht. Die Lücke sei Xiaomi intern bereits bekannt und veröffentlicht worden. Da es sich bei dem Produkt um eine Kooperation mit einem Dritthersteller handele, müsse man sich mit diesem abstimmen.

Eine ähnliche Sicherheitslücke konnte Zimperium bereits 2017 in einem Hoverboard von Segway identifizieren. Segway wurde 2015 von der Firma Ninebot übernommen, an der Xiaomi mehrheitlich beteiligt ist. Neben Scootern und Segways hat Xiaomi auch Mini-Fahrräder mit Elektro-Antrieb im Angebot.



Anzeige
Top-Angebote
  1. (u. a. Microsoft Surface Pro i5/256GB/8GB für 829,00€, Acer Aspire ab 299,00€)
  2. 114,99€
  3. (u. a. GTA 5 für 12,99€, Landwirtschafts-Simulator 19 für 27,99€, Battlefield V für 32,99€)
  4. 849,00€ (Bestpreis!)

Dwalinn 14. Feb 2019

Und immer diese Mentalität das man im James bond Film ist. wow der Diebstahl Schutz kann...


Folgen Sie uns
       


iPad Mini (2019) - Fazit

Nach vier Jahren hat Apple ein neues iPad Mini vorgestellt. Das neue Modell hat wieder einen 7,9 Zoll großen Bildschirm und unterstützt dieses Mal auch den Apple Pencil.

iPad Mini (2019) - Fazit Video aufrufen
LTE-V2X vs. WLAN 802.11p: Wer hat Recht im Streit ums Auto-WLAN?
LTE-V2X vs. WLAN 802.11p
Wer hat Recht im Streit ums Auto-WLAN?

Trotz langjähriger Verhandlungen haben die EU-Mitgliedstaaten die Pläne für ein vernetztes Fahren auf EU-Ebene vorläufig gestoppt. Golem.de hat nachgefragt, ob LTE-V2X bei direkter Kommunikation wirklich besser und billiger als WLAN sei.
Eine Analyse von Friedhelm Greis

  1. Vernetztes Fahren Lobbyschlacht um WLAN und 5G in Europa
  2. Gefahrenwarnungen EU setzt bei vernetztem Fahren weiter auf WLAN

Oneplus 7 Pro im Hands on: Neue Konkurrenz für die Smartphone-Oberklasse
Oneplus 7 Pro im Hands on
Neue Konkurrenz für die Smartphone-Oberklasse

Parallel zum Oneplus 7 hat das chinesische Unternehmen Oneplus auch das besser ausgestattete Oneplus 7 Pro vorgestellt. Das Smartphone ist mit seiner Kamera mit drei Objektiven für alle Fotosituationen gewappnet und hat eine ausfahrbare Frontkamera - das hat aber seinen Preis.
Ein Hands on von Ingo Pakalski

  1. Oneplus Upgrade auf Android 9 für Oneplus 3 und 3T wird verteilt
  2. Smartphones Android-Q-Beta für Oneplus-7-Modelle veröffentlicht
  3. Oneplus 7 Pro im Test Spitzenplatz dank Dreifachkamera

Strom-Boje Mittelrhein: Schwimmende Kraftwerke liefern Strom aus dem Rhein
Strom-Boje Mittelrhein
Schwimmende Kraftwerke liefern Strom aus dem Rhein

Ein Unternehmen aus Bingen will die Strömung des Rheins nutzen, um elektrischen Strom zu gewinnen. Es installiert 16 schwimmende Kraftwerke in der Nähe des bekannten Loreley-Felsens.

  1. Speicherung von Überschussstrom Wasserstoff soll bei Engpässen helfen
  2. Energiewende DLR-Forscher bauen Kohlekraftwerke zu Stromspeichern um
  3. Erneuerbare Energien Wellenkraft als Konzentrat

    •  /