0
Die Schwachstelle könnte Angreifern die Kontrolle der nahegelegenen Segways.
Bild: IOActive
Sicherheitslücken in der Segway-hoverboard-software können ausgenutzt werden, um aus der Ferne überwachen Sie den Standort der Benutzer, sperren Sie Sie aus Ihrem Fahrzeug, oder bringen das Gerät zum Stillstand und führen die Fahrer zu fallen, nach Sicherheitsexperten.
Mit dem reverse-engineering-Forscher bei IOActive gefunden, war es möglich, das abfangen der Kommunikation zwischen den Ninebot von Segway-miniPRO-Freisprecheinrichtung, zwei-Rad-Elektro-Roller und Ihre Begleiter mobilen Anwendung zur Durchführung von Angriffen.
Die Firma fand, dass ein Angreifer eine Verbindung zu Ninebot Scooter verwenden eine modifizierte version des Nordic UART, Anstand Bluetooth-Dienst, und reverse Engineering der Roller ist ein Kommunikations-Protokoll — das gleiche system für die Fernsteuerung und-Konfiguration-Einstellungen-Verwendung eines Bluetooth-sniffer. Die Benutzer-PIN Authentifizierung war nicht nötig, um eine Verbindung in diesem Fall.
IOActive war in der Lage, ein reverse Engineering der firmware-update-Mechanismus, der die Entdeckung, dass Ninebot nicht die Integrität überprüfen lassen, bevor Sie einen firmware-update. Dies könnte Angreifern die haben Ihre eigene firmware hochgeladen statt, damit Sie ändern das Verhalten des Geräts.
Angreifer könnten möglicherweise ändern, der Benutzer die PIN-Nummer und laden Sie eine firmware aktualisieren, sperren Sie Sie aus Ihrem Gerät. Ein hacker könnte auch die LED-Farben oder deaktivieren Sie die Roller der motor während des Gebrauchs, womit es zu einem plötzlichen Stopp.
“Wie lange haben Sie ein Gerät mit Bluetooth, [Angreifer] kann das senden von Befehlen an das hoverboard und nutzen diese exploits. Sie brauchen nicht ein hoverboard, um die Angriffe durchführen, aber Sie müssen das firmware-update durchführen”, sagte Kilbridge.
In der Nähe Segways könnte sogar mit dem Ninebot-app, wie es Indizes, die die Position der Reiter in den Bereich und macht die Daten öffentlich verfügbar sind.
“Sie ritt auf dem hoverboard, das GPS hochladen würde Ihre Standortdaten an Segway-Servern und es würden regelmäßig öffentlich verfügbar gemacht. Dies macht es einfacher zu weaponise einen exploit wie diesen,” Thomas Kilbridge, der IOActive-Sicherheitsexperte, der die Sicherheitsanfälligkeit, sagte zu ZDNet.
Der Segway-Fahrer in der Nähe-Funktion auf der Ninebot app.
Bild: IOActive
IOActive hat, offenbart die Schwachstellen zu Segway und seine Muttergesellschaft Ninebot, und die Roller-Hersteller hat in der Folge aktualisiert die Anwendung, um sicherzustellen, die Sicherheitslücken behoben wurden.
Das Unternehmen umgesetzt hat, die firmware-Integrität überprüfen, gewährleistet die Verwendung von Bluetooth-pre-shared-key-Authentifizierung oder die PIN-Authentifizierung sowie der Einsatz von starker Verschlüsselung für die wireless-Kommunikation, und eine pairing-Modus als der einzige Weg, um Paaren einen Roller mit einem Handy.
Der Ninebot-app wurde auch aktualisiert, um zu schützen, Reiter Privatsphäre, indem Sie nicht ausgesetzt sind, Ihre Lage zu anderen. IOActive würdigte das Unternehmen für “sehr Ansprechend” für das arbeiten mit ihm und Behebung der Schwachstellen.
Die Sicherheitslücken wieder öffnen Sie die Debatte über Cyber-Sicherheit, das Internet der Dinge, und die Sensibilisierung der Verbraucher um den angeschlossenen Geräten. In der Tat, IOActive zuvor gemeldete Sicherheitsanfälligkeiten in Roboter, die verwendet werden könnten, um Schaden zu verursachen oder die Durchführung Spionage.
“Es ist wichtig für Verbraucher, sich bewusst zu sein, anschließbar an die Geräte, die Sie besitzen,” sagte Kilbridge.
“Aus der Hersteller-Sicht, es ist wichtig für die Sicherheit-kritische Geräte wie diese, die Sicherheit überprüft werden routinemäßig und vielleicht auch Vorschriften eingeführt, um sicherzustellen, dass eine Schwachstelle nicht in der wildnis, bevor Sie verkauft auf dem Markt,” fügte er hinzu.
LESEN SIE MEHR ÜBER CYBERSECURITY
Geschichte wiederholt: Wie das Internet der Dinge versäumt zu lernen, die Sicherheit lehren der pastBefore Gebäude, einem smart home, beachten Sie diese Warnungen [CNET]Zehn best practices für die Absicherung des Internets der Dinge in Ihrem organizationInternet Sachen Sicherheit: Was passiert, wenn alle Geräte werden smart und Sie brauchen nicht einmal wissen, dass es?94% glauben, dass ungesicherte IoT-Geräten führen könnte “katastrophal” Cyber-Angriff [TechRepublic]
0