Patinete elétrico da Xiaomi tem falha de segurança que permite controle via Bluetooth

Xiaomi M365 é um modelo popular de patinete elétrico que tem brecha para instalação de malware

Paulo Higa
• Atualizado há 3 anos
Xiaomi - Patinete elétrico M365

Um modelo popular de patinete elétrico da Xiaomi, o M365, tem uma falha de segurança grave que pode causar acidentes: por meio de uma conexão Bluetooth, uma pessoa mal intencionada consegue instalar um malware à distância e tomar o controle total do veículo, acelerando ou freando o patinete a qualquer momento.

A vulnerabilidade foi descoberta pelo pesquisador de segurança Rani Idan, da consultoria Zimperium, e divulgada na Wired. O vídeo a seguir mostra uma prova de conceito em que um patinete elétrico da Xiaomi é desativado remotamente com um aplicativo malicioso, deixando a vítima no meio da rua:

O ataque é possível porque o M365 tem uma falha no módulo Bluetooth, que conecta o patinete a um aplicativo da Xiaomi, utilizado para verificar a autonomia restante, a velocidade média e atualizar o firmware. Mesmo sem digitar nenhuma senha, um hacker pode se conectar ao patinete e instalar um software malicioso. Não existe uma verificação para confirmar se o código é oficial da Xiaomi.

Xiaomi - Patinete elétrico

Embora o aplicativo da Xiaomi permita configurar uma senha no M365, a prova de conceito de Idan mostra que o patinete não exige nenhuma autenticação para a conexão Bluetooth mesmo depois de o usuário ativar o recurso de segurança. Além disso, empresas de patinetes compartilhados utilizam o mesmo modelo: nos Estados Unidos, já andei em um M365 da Bird, e a Lyft também chegou a adotar o produto.

A Xiaomi conta à Zimperium que sabe do problema internamente, mas que a implementação do módulo Bluetooth é de uma empresa terceira. As duas companhias estão trabalhando em conjunto para encontrar uma solução. Enquanto isso, cuidado.

Leia | Por que usar cadeado Bluetooth pode não ser boa ideia?

Relacionados

Escrito por

Paulo Higa

Paulo Higa

Ex-editor executivo

Paulo Higa é jornalista com MBA em Gestão pela FGV e uma década de experiência na cobertura de tecnologia. No Tecnoblog, atuou como editor-executivo e head de operações entre 2012 e 2023. Viajou para mais de 10 países para acompanhar eventos da indústria e já publicou 400 reviews de celulares, TVs e computadores. Foi coapresentador do Tecnocast e usa a desculpa de ser maratonista para testar wearables que ainda nem chegaram ao Brasil.