[2019-3-26 更新] 新增小米香港方面有關米家電動滑板車 OTA 更新資料
[更新]小米方面就本篇報道作出回應(見下文)
小米旗下品牌米家所推出的一款電動滑板車,被發現存有漏洞,讓第三者可以遙距控制,令滑板車急速加速或剎停,可能會造成意外。(小米已於 3 月 18 日推出更新,修正有關漏洞)
這個漏洞是由保安公司 Zimperium 日前公布,他們還發布了一條影片,示範在一個交通燈口弄停了一部米家電動滑板車剎停,令那人無法開動滑板車過馬路。
[ot-video][/ot-video]
據 Zimperium 表示,這是他們 zLabs 小組研究小米的物聯網產品的保安的一部分,而他們著眼於這款 Xiaomi M365 電動滑板車,是因為這滑板車的市場佔有率很高。
Xiaomi M365 本身可以透過官方 App 以藍牙連結來管理、防盜和設定,而滑板車是以密碼來保護的。但 Zimperium 就發現滑板車的認證過程並沒有正確使用密碼,令到第三方可以在沒有密碼的情況下執行所有指令。
Zimperium 的示範影片中顯示,他們寫了一個惡意程式,來探測附近有沒有 M365 滑板車,並啟動防盜系統,令那部滑板車無法動彈。據說,那個程式可以在家 100 公尺內鎖住滑板車,如果惡意使用這個漏洞的話,甚至可以將惡意軟件嵌入特定的滑板車靭體裡,令滑板車突然加速或急速剎停,釀成意外。
Zimperium 表示他們已於 1 月向小米方面報告有關漏洞,而小米方面就表示他們公司內部已經掌握了問題所在,不過就沒有說明何時推出更新堵塞漏洞並且將會透過 OTA 更新軟件。
小米已知悉小米米家電動滑板車可能存在漏洞,讓黑客能夠藉此惡意妨礙滑板車正常運作。
當我們意識到這個漏洞後,已立即進行修復工作,並攔截所有未經授權的應用程式。小米的產品開發及保安團隊亦將盡快推出 OTA (Over-the-Air) 軟件更新。
小米非常重視用戶及保安社群的寶貴意見,並致力作出相應改進以建造更好及安全的產品。
小米香港在 3 月 26 日通知《 PCM 》 指已經推出米家電動滑板車的 OTA 更新:
小米已於 2019 年 3 月 18 日推出米家電動滑板車 OTA 軟件更新(版本 1.5.1 )用於解決早前所發現的保安漏洞。
用戶須安裝最新的米家( Mi Home )應用程式( Android 版本 5.5.0 / iOS 版本 4.13.101 )以接收最新的米家電動滑板車 OTA 軟件更新。