0
De kwetsbaarheid in de beveiliging kon laten aanvallers controle van neaby Segways.
Afbeelding: IOActive
Beveiligingsproblemen in Segway hoverboard software kunnen worden benut om op afstand toezicht houden op de locatie van de gebruikers, sluit hen uit van hun voertuigen, of breng het apparaat naar een halt toe te roepen en de oorzaak van de rijder af te vallen, volgens de onderzoekers van de veiligheid.
Met behulp van reverse-engineering, onderzoekers van IOActive vond het mogelijk was om het onderscheppen van de communicatie tussen de Ninebot door Segway miniPRO handsfree -, twee-wiel scootmobiel en zijn metgezel mobiele applicatie om aanslagen te plegen.
Het bedrijf gevonden die een kwaadwillende gebruiker kan verbinding maken met Ninebot scooters met behulp van een aangepaste versie van Nordic UART, een fatsoen Bluetooth service, en reverse engineering van de scooter communicatie protocol — hetzelfde systeem gebruikt voor de afstandsbediening en configuratie-instellingen — met behulp van een Bluetooth-sniffer. De gebruiker naar zijn PIN-verificatie niet nodig was om een verbinding te maken in dit geval.
IOActive was in staat om te reverse-engineeren van de firmware-update mechanisme, ontdekken dat Ninebot niet een integriteitscontrole voor het aanvaarden van een firmware update. Dit kan leiden aanvallers om hun eigen firmware geupload in plaats, waardoor ze het wijzigen van het gedrag van het apparaat.
Aanvallers zouden kunnen veranderen van de gebruiker de PIN-nummer in en upload een update van de firmware vergrendeling ze uit hun apparaat. Een hacker kan ook veranderen de LED-kleuren-of uitschakelen de scooter motor terwijl het in gebruik is, om het te brengen van een plotselinge stop.
“Zolang zij hebben een apparaat met Bluetooth, [aanvallers] kunt u commando’ s naar de hoverboard en gebruik een van deze exploits. Ze hoeft niet een hoverboard de aanvallen uit te voeren, maar ze moeten om de firmware te updaten,” zei Kilbridge.
In de buurt Segways zelfs zou kunnen worden gelokaliseerd met behulp van de Ninebot app, zoals het indexeren van de locatie van de renners in de omgeving en maakt de gegevens openbaar beschikbaar.
“Als u reed de hoverboard, de GPS op uw telefoon zou upload uw locatie gegevens te Segway servers en het zou periodiek publiekelijk ontmaskerd. Dit maakt het makkelijker om weaponise een exploit als dit,” Thomas Kilbridge, de IOActive security-onderzoeker die de kwetsbaarheid, vertelde ZDNet.
De Segway-rijder in de buurt hebben op de Ninebot app.
Afbeelding: IOActive
IOActive heeft bekend de kwetsbaarheden te Segway en haar moedermaatschappij Ninebot, en de scooter fabrikant heeft vervolgens bijgewerkt de toepassing om er zeker van de beveiligingsproblemen hebt opgelost.
Het bedrijf heeft uitgevoerd firmware integriteit controleren, wordt ervoor gezorgd dat het gebruik van Bluetooth-pre-shared key-verificatie of PIN authenticatie als het gebruik van sterke encryptie voor draadloze communicatie, en een pairing-modus als de enige manier om te koppelen aan een scooter met een telefoon.
De Ninebot app is ook bijgewerkt te beschermen ruiter privacy door niet het blootstellen van hun locatie naar de andere. IOActive prees het bedrijf voor zijn “diensten” voor het werken met en het vaststellen van de kwetsbaarheden.
De kwetsbaarheden in de beveiliging weer open van de discussie over cybersecurity, het Internet van Dingen, en het bewustzijn bij de consument rond de aangesloten apparaten. Inderdaad, IOActive eerder vermeld kwetsbaarheden in robots die gebruikt kunnen worden voor het veroorzaken van schade of het voeren van spionage.
“Het is belangrijk voor de consument om bewust te zijn van de connectability van de apparaten die ze zelf,” zei Kilbridge.
“Van de producent, het standpunt, het is belangrijk voor de veiligheid kritieke apparaten zoals deze, die veiligheid gecontroleerd te worden routinematig en misschien zelfs regelgeving om ervoor te zorgen dat een kwetsbaarheid als dit niet in het wild alvorens te worden verkocht op de markt,” voegde hij eraan toe.
LEES MEER OVER CYBERSECURITY
Geschiedenis herhalen: Hoe het IoT is niet te leren van de veiligheid lessen van de pastBefore het bouwen van een smart home, gehoor te geven aan deze waarschuwingen [CNET]Tien van de beste praktijken voor het beveiligen van het Internet van Dingen in je organizationInternet van Dingen veiligheid: Wat gebeurt er als elk apparaat is slim en je hoeft niet eens te weten?94% van mening dat het ongedekte IoT apparaten kan leiden tot een ‘catastrofale’ cybersecurity aanval [TechRepublic]
0