据 CNET 报道,根据安全研究机构 Zimperium 周二发布的信息显示,小米M365电动滑板车存在一个漏洞问题,可能会让黑客对其进行完全的远程控制,包括突然加速或刹车。同时也指责滑板车的密码认证过程是通过蓝牙通信完成的。
Zimperium 在一份声明中说:“在我们的研究过程中,我们发现密码在车上的认证过程中使用不正确,并且所有的命令都可以在没有密码的情况下执行。密码只在应用程序端验证,但指示器本身并不跟踪身份验证状态。”
研究人员表示,黑客可以与设备的防盗系统、巡航控制和 ECO 模式进行交互,还可以更新固件,而无需认证。同时,Zimperium 发布了一段概念验证视频,显示其应用程序扫描附近的小米摩托车,并通过其防盗功能禁用它们。Zimperium表示,这款应用可以在半径约为328英尺(100米)的任何M365上运行。
Zimperium 已向小米通报了这一缺陷,小米没有立即回复置评请求。