Des trottinettes électriques Xiaomi piratables à distance : le constructeur déploie un correctif

Mise à jour du 19 mars 2019 : 

Xiaomi a finalement déployé un correctif afin d'empêcher ses trottinettes électriques d’être piratées. Les propriétaires du Mi Electric Scooter sont donc invités à installer la mise à jour logicielle OTA (Version 1.5.1), qui corrige toutes les failles identifiées. Pour recevoir la mise à jour, vous devez absolument installer la dernière version de l’application Mi Home / Xiaomi Home app (version 5.5.0 sur Android et version 4.13.101 sur iOS). 

Les trottinettes électriques de Xiaomi peuvent facilement être piratées à distance, rapportent des chercheurs en sécurité informatique. En étudiant le Mi Scooter de plus près, ils y ont en effet découvert une grave faille de sécurité dans la connexion bluetooth de l’appareil. Explications. 

xiaomi trottinettes piratage

« Dans le cadre de nos recherches sur les objets connectés, nous avons examiné le scooter électrique Xiaomi M365 (NDLR : appelé Xiaomi Mi Scooter en France) et l’avons passé à la loupe » expliquent les chercheurs de Zimperium, Inc. une firme de sécurité mobile basée aux États-Unis, dans une étude relayée par nos confrères de Numerama.

Une faille permet de pirater les Xiaomi Mi Scooter à distance

Selon les chercheurs, un hacker peut facilement prendre le contrôle d’un trottinette de Xiaomi à une distance de 100 mètres sans jamais avoir besoin d’un accès physique au véhicule. La faille identifié par Zimperium se situe dans le système bluetooth, qui est utilisé pour les mises à jour logiciel, le système antivol ou le réglage de la vitesse.

Lire aussi : les meilleures trottinettes électriques de 2019

Ces fonctionnalités sont regroupées dans une application dédiée verrouillée par un mot de passe. En théorie, l’usager est donc en mesure d’interdire l’accès aux réglages et au contrôle de l’engin à une tierce personne. En pratique, cette sécurité ne protège que l’accès à l’application et non pas à la trottinette. « Le mot de passe n’est validé que du côté de l’application, mais le scooter lui-même ne garde pas trace de l’authentification » regrettent les experts. Pour prendre le contrôle d’un Mi Scooter, les chercheurs ont créé une application qui permet de se connecter dans passer par la case identifiants et mot de passe. Grâce à cette astuce, ils sont parvenus à enclencher à distance l’antivol tout les scooter présents à une distance maximale de 100 mètres.

Selon Zimperium, les pirates pourraient utiliser cette faille de plusieurs manières différentes : en bloquant tout simplement la trottinette, en y intégrant incognito un malware capable de contrôler l’engin sur une plus longue distance et en forçant le scooter à accélérer contre le gré de son conducteur. Ils présentent les risques engendrés par ce type de failles dans la vidéo ci-dessous.

Sans surprise, Zimperium a informé Xiaomi de l’existence d’une grave faille. Peu après, Xiaomi nous donc a contacté pour nous assurer qu’une mise à jour corrective était actuellement en cours de développement. Découvrez la réaction officielle du constructeur ci-dessous :

« Xiaomi apporte le plus grand soin à la conception et à la fabrication de ses produits, et prend très à cœur les retours de ses utilisateurs ainsi que la sécurité de sa communauté. C’est pourquoi, dès que nous avons été informés de la possibilité pour des hackers mal intentionnés, de prendre contrôle à distance des trottinettes en marche, nous avons commencé à travailler sur une solution pour y remédier et bloquer l’accès à toute application non autorisée. 

En parallèle, les équipes produits et sécurité de Xiaomi préparent une mise à jour OTA qui sera disponible au plus vite.Nous sommes pleinement engagés dans l’amélioration constante de nos produits et services, notamment sur la base des retours reçus, afin de proposer des produits toujours performants et plus sûrs »

Réagissez à cet article !
Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !
Le Vatican met en vente un chapelet connecté compatible Android et iOS

Voilà une initiative plutôt inattendue. Le Vatican vient de commercialiser un chapelet connecté. L’accessoire, nommé eRosary, fait « le pont entre la tradition est la modernité ». Il prend la forme d’un bracelet constitué de perles d’agate noire et d’hématite combinées avec…

Google Assistant vous suit maintenant à la trace dans toute la maison

Depuis son acquisition de l’entreprise de domotique Nest Labs en 2014, Google dévoile régulièrement de nouveaux produits et fonctionnalités dans cette gamme. Grâce à Google Assistant, l’entreprise vient d’annoncer le déploiement d’une fonctionnalité de diffusion de contenu multimédia à travers…