0
La sicurezza vulnerabilità potrebbe consentire agli aggressori di prendere il controllo di poca Segway.
Immagine: IOActive
Le vulnerabilità di sicurezza in Segway hoverboard software potrebbe essere sfruttato per controllare da remoto la posizione degli utenti, blocco dei loro veicoli, o portare il dispositivo a una battuta d’arresto e causare il pilota a cadere, secondo i ricercatori di sicurezza.
Utilizzando il reverse engineering, i ricercatori IOActive scoperto che era possibile intercettare le comunicazioni tra il Ninebot in Segway miniPRO a mani libere, con due ruote scooter elettrico e la sua compagna applicazione mobile per eseguire attacchi.
L’azienda ha trovato che un utente malintenzionato in grado di connettersi a Ninebot scooter utilizzando una versione modificata del Nordic UART, una proprietà di Bluetooth di servizio e decodificare lo scooter protocollo di comunicazione, che è lo stesso sistema utilizzato per il controllo remoto e la configurazione delle impostazioni — utilizzando una connessione Bluetooth, sniffer. Il PIN dell’utente di autenticazione non era necessario per stabilire una connessione, in questo caso.
IOActive era in grado di decodificare l’aggiornamento del firmware del meccanismo, scoprendo che Ninebot non fare un controllo di integrità prima di accettare un aggiornamento del firmware. Questo potrebbe consentire ad aggressori hanno un proprio firmware caricato, invece, consentendo loro di modificare il comportamento del dispositivo.
Un attacker potrebbe potenzialmente cambiare il PIN dell’utente numero e caricare un firmware di aggiornamento, il blocco dei loro dispositivo. Un hacker potrebbe anche cambiare i colori di LED o disattivare lo scooter a motore mentre è in uso, portando ad un arresto improvviso.
“Finché si dispone di un dispositivo con Bluetooth, [aggressori] possibile inviare comandi per l’hoverboard e utilizzare uno qualsiasi di questi exploit. Non hanno bisogno di un hoverboard per eseguire gli attacchi, ma di cui hanno bisogno per eseguire l’aggiornamento del firmware”, ha detto Kilbridge.
Nelle vicinanze Segway potrebbe anche essere posizionato con il Ninebot app, come gli indici di posizione dei piloti in area e rende le informazioni pubblicamente disponibili.
“Come ti rode il hoverboard, il GPS del tuo cellulare vorresti caricare i dati di posizione di Segway server e sarebbe periodicamente esposto al pubblico. Questo rende più facile per weaponise un exploit come questo,” Thomas Kilbridge, il IOActive ricercatore di sicurezza che ha scoperto la vulnerabilità, ha detto a ZDNet.
Il Segway rider nelle vicinanze funzione Ninebot app.
Immagine: IOActive
IOActive ha rivelato la vulnerabilità di Segway e la sua società madre Ninebot, e il costruttore di scooter ha successivamente aggiornata l’applicazione per assicurarsi che le vulnerabilità di sicurezza sono stati risolti.
L’azienda ha implementato l’integrità del firmware di controllo, si è assicurato l’utilizzo del Bluetooth pre-shared key authentication o il PIN di autenticazione, l’uso della crittografia forte per le comunicazioni wireless e una modalità di associazione come l’unico modo per associare un motorino con un telefono cellulare.
Il Ninebot app è stata aggiornata per proteggere il pilota privacy non esporre la loro posizione. IOActive ha elogiato la società per essere “molto reattiva” per lavorare con esso e fissando le vulnerabilità.
Le vulnerabilità di sicurezza ancora una volta aperto il dibattito sulla sicurezza cibernetica, l’Internet delle Cose, e la consapevolezza dei consumatori circa i dispositivi collegati. Infatti, IOActive in precedenza vulnerabilità divulgate in robot, che potrebbero essere utilizzati per provocare danni o comportamenti di spionaggio.
“È importante che i consumatori siano consapevoli della varietà di opzioni di collegamento dei dispositivi che possiedono,” ha detto Kilbridge.
“Dal produttore del punto di vista, è importante per la sicurezza-i dispositivi critici come questo che la sicurezza la verifica di routine e forse anche i regolamenti messi in atto per assicurarsi che una vulnerabilità come questo non è in natura, prima di essere venduto sul mercato”, ha aggiunto.
PER SAPERNE DI PIÙ SULLA SICUREZZA INFORMATICA
La storia si ripete: Come l’IoT non riesce a imparare le lezioni di sicurezza del pastBefore la costruzione di una casa intelligente, prestare attenzione a questi avvertimenti [CNET]Dieci migliori pratiche per assicurare l’Internet delle Cose nel vostro organizationInternet di Cose di sicurezza: Cosa succede quando ogni dispositivo è intelligente e non si sa nemmeno?Il 94% ritiene di non protetta dispositivi IoT potrebbe portare a “catastrofica” cybersecurity attacco [TechRepublic]
0