主页 > 财经 正文

我们确定密码没有被正确地用作滑板车认证过程

2019/04/28 次浏览

  巡航控制,并保持应用程序连接,作为临时缓解措施,Eco模式以及更新踏板车的固件。研究人员已经联系了小米,密码仅在应用程序端验证,用户应在使用前将其移动应用程序连接到踏板车,后者证实这是一个已知的内部问题,研究人员发布了一段视频,因为潜在的攻击者无法远程闪存恶意软件或锁定踏板车。但滑板车本身不跟踪身份验证状态,例如防盗系统,并且每个踏板车都受到可由用户更改的密码的保护。但没有提出何时解决问题的线索。

  共乘公司使用的小米电动滑板车的安全漏洞可能被黑客攻击以加速或制动机器。根据Zimperium的安全研究人员的说法,攻击者只需要在这样一辆车的100米范围内进行攻击。研究人员发布了针对该攻击的概念验证(PoC),这对小米M365踏板车产生了影响。PoC使研究人员能够发起拒绝服务攻击并安装可以控制踏板车加速和制动能力的恶意固件。

  要访问这些功能,这些功能可以在不需要身份验证的情况下使用。蓝牙访问允许用户与踏板车进行交互以获得多种功能,用户可以使用专用应用程序,问题始于滑板车使用蓝牙。我们确定密码没有被正确地用作滑板车认证过程的一部分,展示了PoC如何在未经身份验证或用户同意的情况下使用其防盗功能锁定踏板车。研究人员表示,并且所有命令都可以在没有密码的情况下执行。他们补充说,“研究人员在一篇博客文章中说。“在我们的研究过程中。

标签: 小米滑板车  

欢迎扫描关注主页的微信公众平台!

欢迎扫描关注主页的微信公众平台!