Un fallo permite controlar a distancia el patinete de Xiaomi

La vinculación entre el aparato y el smartphone vía Bluetooth no solicita contraseña ni credencial

El patinete eléctrico de Xiaomi, el modelo M365 scooter, presenta una vulnerabilidad que permite a un potencial atacante controlar de forma remota los controles del vehículo, informa Portaltic/EP.

Uno de los componentes del M365 scooter, el módulo de conectividad Bluetooth que permite comunicar el vehículo con el ‘smartphone’, presenta una vulnerabilidad que lo expone a terceros, como ha descubierto la firma de ciberseguridad Zimperium.

La vulnerabilidad hace que la vinculación entre patinete y ‘smartphone’ vía Bluetooth no solicite contraseña ni ningún otro tipo de credencial. Asimismo, el patinete puede comprometerse con la instalación de ‘firmware’ malicioso sin que sus sistemas detecten que no es u programa oficial.

En conjunto, esta vulnerabilidad supone, como explica en su blog el director de Zimperium, Rani Idan, que un tercero puede acceder al patinete e instalar ‘malware’ en él para tener control de forma remota. Es decir, un atacante con malas intenciones podría acelerar o frenar sin que el usuario pudiera evitarlo.

Idan ha aclarado que este descubrimiento se ha publicado después de haber sido notificado a Xiaomi.