La trottinette électrique Xiaomi M365 piratée

Un grave défaut de conception de la trottinette électrique M365 de Xiaomi permet de la pirater à une distance maximale de 100 mètres et de forcer l’engin à freiner ou à accélérer.

Xiaomi M365 : attention au piratage de votre trottinette !

Des chercheurs de Zimperium publient une description du principe de l’attaque qui a des conséquences sur les Xiaomi M365. L’attaque permet de lancer déni de service. À la suite de celui-ci, un micrologiciel malveillant capable de prendre le contrôle s’installe. Enfin, il est possible de donner l’ordre de freiner ou accélérer soudainement.

Bien que Xiaomi ait reconnu le problème, la société a indiqué qu’elle travaillait toujours sur une mise à jour. La faille provient d’un problème commun aux périphériques connectés. La communication Bluetooth non sécurisée entre la trottinette et l’application est en cause. Les propriétaires du modèle M365 peuvent utiliser l’application Bluetooth pour plusieurs fonctions. Parmi celles-ci, on retrouve un système antivol, le contrôle du régulateur de vitesse ou encore le mode économique.

Cependant, ces mêmes fonctionnalités ont des implications dangereuses lorsque l’appareil est sous le contrôle d’une personne malveillante. Chaque trottinette électrique est protégée par un mot de passe qui peut être modifié par l’utilisateur. Cependant, les chercheurs montrent aujourd’hui que le système est faillible.

Lorsque des chercheurs ont contacté Xiaomi, la société a déclaré que le problème était connu en interne et qu’une mise à jour devrait arriver rapidement. La Xiaomi M365 n’est pas la première trottinette électrique piratée. En 2017, des chercheurs découvrent des vulnérabilités dans le micrologiciel du Segway MiniPro. Et cela devrait s’accentuer dans les années à venir avec l’arrivée massive de nouveaux appareils connectés.

Espérons que le nouveau modèle M365 Pro ne soit pas vulnérable dès sa sortie !