SVENSKA

Segway hoverboard kan vara trådlöst hackad säger forskare

243

Säkerhetsproblem i Segway hoverboard programvara skulle kunna utnyttjas för att på avstånd övervaka placeringen av användare, låsa dem ur sina fordon, eller ta enheten till ett stopp och orsaka ryttaren faller av, enligt säkerhetsforskare.

Med hjälp av reverse engineering, forskare vid IOActive fann att det var möjligt att avlyssna kommunikation mellan Ninebot av Segway miniPRO handsfree -, två-hjul elektrisk skoter och dess följeslagare mobil applikation för att utföra attacker.

Bolaget funnit att en angripare kan ansluta till Ninebot skotrar med hjälp av en modifierad version av Nordic UART, ett anständigt Bluetooth-service, och dekonstruera den scooter s kommunikationsprotokoll — samma system som används för fjärrkontroll och inställningarna — med hjälp av en Bluetooth-sniffer. Användarens PIN-kod var inte behövs för att upprätta en anslutning i det här fallet.

IOActive kunde dekonstruera den firmware uppdatering mekanism för att upptäcka att Ninebot inte göra en integrity check innan du godkänner att en uppdatering av firmware. Detta skulle göra det möjligt för angripare att ha en egen firmware som laddas upp istället, gör det möjligt för dem att ändra beteende av enheten.

Angripare eventuellt skulle kunna ändra användarens PIN-kod och ladda upp en firmware-uppdatering, låser dem i sin enhet. En hacker kan också ändra LED färger eller inaktivera scooter s motor medan den används, och föra det till ett plötsligt stopp.

“Så länge de har en enhet med Bluetooth, [angripare] kan skicka kommandon till hoverboard och använda någon av dessa utnyttjar. De behöver inte en hoverboard att utföra attacker, men de behöver för att utföra uppdateringen av maskinvaran,” sade Kilbridge.

I närheten Segways kan även vara läge att använda Ninebot app, som det index som var ryttare i området och gör informationen tillgänglig för allmänheten.

“Som du cyklade hoverboard, telefonens GPS skulle ladda upp dina positionsdata för Segway servrar och det skulle vara regelbundet exponeras offentligt. Detta gör det lättare att weaponise en bragd likt denna,” Thomas Kilbridge, IOActive säkerhet forskare som upptäckte sårbarheten, berättade ZDNet.

IOActive har lämnat sårbarhet för Segway och dess moderbolag Ninebot, och skoter tillverkare har därefter uppdaterat programmet för att garantera säkerheten sårbarheter har åtgärdats.

Företaget har genomfört firmware integritet kontroll, se användning av Bluetooth-pre-shared key-autentisering eller PIN-kod samt användningen av stark kryptering för trådlös kommunikation, och en ihopparningsläge som det enda sättet att koppla ihop en skoter med en telefon.

Den Ninebot app har också uppdaterats för att skydda förare integritet genom att inte utsätta sin plats till andra. IOActive beröm företaget för att de är “mycket lyhörd” för att arbeta med det och åtgärda säkerhetsproblem.

Säkerhetsproblem återigen öppna debatten om it-säkerhet, Internet of Things, och konsumenternas medvetenhet kring anslutna enheter. Ja, IOActive tidigare informerat om sårbarheter i robotar som skulle kunna användas för att orsaka skada eller bedriva spionage.

“Det är viktigt för att konsumenterna ska vara medvetna om kopplingsbar med de enheter som de egna,” sade Kilbridge.

“Från tillverkarens synvinkel, är det viktigt för säkerhetskritiska enheter som denna som säkerhet kontrolleras rutinmässigt och kanske även bestämmelser som införts för att se till att en sårbarhet som denna är inte i det vilda innan de säljs på marknaden,” tillade han.

LÄS MER OM IT-SÄKERHET

Historien upprepar: Hur sakernas internet är att misslyckas för att lära sig säkerhet lektioner av pastBefore att bygga ett smart hem, lyssna till dessa varningar [MAG]Tio bästa praxis för att säkra Internet of Things i din organizationInternet Saker säkerhet: Vad händer när varje enhet är smart och du behöver inte ens veta det?94% anser oprioriterade IoT-enheter kan leda till en “katastrofal” cybersäkerhet attack [TechRepublic]