Des trottinettes électriques Xiaomi piratables à distance : le constructeur déploie un correctif

 

Mise à jour du 19 mars 2019 : 

Xiaomi a finalement déployé un correctif afin d'empêcher ses trottinettes électriques d'être piratées. Les propriétaires du Mi Electric Scooter sont donc invités à installer la mise à jour logicielle OTA (Version 1.5.1), qui corrige toutes les failles identifiées. Pour recevoir la mise à jour, vous devez absolument installer la dernière version de l’application Mi Home / Xiaomi Home app (version 5.5.0 sur Android et version 4.13.101 sur iOS). 

Les trottinettes électriques de Xiaomi peuvent facilement être piratées à distance, rapportent des chercheurs en sécurité informatique. En étudiant le Mi Scooter de plus près, ils y ont en effet découvert une grave faille de sécurité dans la connexion bluetooth de l'appareil. Explications. 

xiaomi trottinettes piratage

“Dans le cadre de nos recherches sur les objets connectés, nous avons examiné le scooter électrique Xiaomi M365 (NDLR : appelé Xiaomi Mi Scooter en France) et l'avons passé à la loupe” expliquent les chercheurs de Zimperium, Inc. une firme de sécurité mobile basée aux États-Unis, dans une étude relayée par nos confrères de Numerama.

Une faille permet de pirater les Xiaomi Mi Scooter à distance

Selon les chercheurs, un hacker peut facilement prendre le contrôle d'un trottinette de Xiaomi à une distance de 100 mètres sans jamais avoir besoin d'un accès physique au véhicule. La faille identifié par Zimperium se situe dans le système bluetooth, qui est utilisé pour les mises à jour logiciel, le système antivol ou le réglage de la vitesse.

Lire aussi : les meilleures trottinettes électriques de 2019

Ces fonctionnalités sont regroupées dans une application dédiée verrouillée par un mot de passe. En théorie, l'usager est donc en mesure d'interdire l'accès aux réglages et au contrôle de l'engin à une tierce personne. En pratique, cette sécurité ne protège que l'accès à l'application et non pas à la trottinette. “Le mot de passe n’est validé que du côté de l’application, mais le scooter lui-même ne garde pas trace de l’authentification” regrettent les experts. Pour prendre le contrôle d'un Mi Scooter, les chercheurs ont créé une application qui permet de se connecter dans passer par la case identifiants et mot de passe. Grâce à cette astuce, ils sont parvenus à enclencher à distance l'antivol tout les scooter présents à une distance maximale de 100 mètres.

Selon Zimperium, les pirates pourraient utiliser cette faille de plusieurs manières différentes : en bloquant tout simplement la trottinette, en y intégrant incognito un malware capable de contrôler l'engin sur une plus longue distance et en forçant le scooter à accélérer contre le gré de son conducteur. Ils présentent les risques engendrés par ce type de failles dans la vidéo ci-dessous.

Sans surprise, Zimperium a informé Xiaomi de l'existence d'une grave faille. Peu après, Xiaomi nous donc a contacté pour nous assurer qu'une mise à jour corrective était actuellement en cours de développement. Découvrez la réaction officielle du constructeur ci-dessous :

Xiaomi apporte le plus grand soin à la conception et à la fabrication de ses produits, et prend très à cœur les retours de ses utilisateurs ainsi que la sécurité de sa communauté. C’est pourquoi, dès que nous avons été informés de la possibilité pour des hackers mal intentionnés, de prendre contrôle à distance des trottinettes en marche, nous avons commencé à travailler sur une solution pour y remédier et bloquer l’accès à toute application non autorisée. 

En parallèle, les équipes produits et sécurité de Xiaomi préparent une mise à jour OTA qui sera disponible au plus vite.Nous sommes pleinement engagés dans l’amélioration constante de nos produits et services, notamment sur la base des retours reçus, afin de proposer des produits toujours performants et plus sûrs”



Abonnez-vous gratuitement à la newsletter
Chaque jour, le meilleur de Phonandroid dans votre boite mail !
Réagissez à cet article !
Demandez nos derniers articles !
harley davidson serial 1 cycle
Harley Davidson présente Serial 1, un vélo électrique ultra-luxueux

Harley Davidson se lance dans les vélos électriques. L’emblématique firme américaine présente Serial 1, sa filiale dédiée à une gamme de vélos éponymes dont un prototype a été dévoilé en photo et en vidéo. Ce premier modèle révèle un positionnement…

trottinettes electriques lime
Les trottinettes électriques autonomes arrivent grâce au téléguidage !

Trois entreprises américaines, Go X, Tortoise et Curiosity Labs s’associent pour lancer un services de location de trottinettes électriques aux Etats-Unis avec une particularité inédite. Les trottinettes peuvent être téléguidées par des équipes distantes pour les rendre “autonomes” et les…