La empresa de seguridad informática Zimperium publicó esta semana un informe en el que se explica que es posible controlar el scooter de un extraño utilizando únicamente su teléfono celular. La falla de seguridad se encuentra presente en el modelo M365 de Xiaomi, uno de los más utilizados por diferentes compañías como parte de sus programas de vehículos compartidos.
Es justamente a través del módulo bluetooth incluido en el scooter que los investigadores ingresaron al sistema, ya que descubrieron que la contraseña utilizada en la aplicación dedicada no es validada por el scooter, sino que simplemente se utiliza para acceder al software del teléfono. Eso significa que el vehículo se encuentra abierto a cualquier conexión externa sin necesidad de autorización.
Como se puede observar en el video de prueba de concepto, sólo es necesario encontrar uno de estos modelos para acceder a través de una aplicación especialmente diseñada para ello.
Una vez en control del vehículo es posible bloquearlo e incluso instalar un nuevo firmware para obligarlo a frenar y acelerar a voluntad, lo que representa un verdadero riesgo para los usuarios. Según el reporte de Zimperium el sistema permite controlar cualquier scooter dentro de un rango de hasta cien metros.
Sorprendentemente cuando Zimperium informó a Xiaomi del inconveniente, la empresa se refirió al error como “un problema conocido internamente”.Por su parte, un representante de Bird, una de las compañías que utilizan este modelo, aseguró que los scooters que componen su flotilla no son afectados por el error, de que han estado al tanto por un año. Lime, otro prestador de servicio que utiliza el M365, eligió mantener silencio.