Connect with us

Tecnologuía

Tecnologuía

Un grave fallo de seguridad en los patinetes Xiaomi permite a otros usuarios controlarlo a distancia e incluso bloquearlo

Xataca

Un grave fallo de seguridad en los patinetes Xiaomi permite a otros usuarios controlarlo a distancia e incluso bloquearlo

Los patinetes eléctricos están cambiando la movilidad urbana, hasta tal punto que las autoridades están adaptando la legislación a estos nuevos vehículos de movilidad personal (VMP) y limitar su velocidad. Uno de los modelos que más ha contribuido a esta expansión es el Xiaomi Mi Electric Scooter y aunque no es el único, sí es de los más populares.

Además de la aplicación oficial Mi Home, existen múltiples aplicaciones de terceros compatibles que sirven para controlar otros aspectos del patinete. Una de ellas es M365 HUD y entre sus funciones está la de bloquear el patinete desde el móvil. Pero para nuestra sorpresa, hemos detectado que aplicaciones como esta permiten también bloquear el patinete de otras personas. Un grave fallo de seguridad ya que permite de manera sencilla acceder a información de otra persona e incluso controlar su dispositivo sin su permiso.

Adicionalmente, desde Zimperium informan que no sería necesaria la contraseña para poder acceder al patinete de otros usuarios. Un grave fallo de seguridad que pone en riesgo la circulación de los usuarios.

Si nunca emparejaste el patinete con Mi Home, entonces no tienes contraseña

La mayoría de usuarios tiene un sistema de seguridad en el móvil, sea un código PIN, el desbloqueo facial o el lector de huellas. Sin embargo en los patinetes no siempre ocurre lo mismo. Al ser un producto relativamente nuevo y no contener información personal, uno no tiene la sensación de necesitar una contraseña para poder utilizarlo. Pero es un error, ya que estamos ante un dispositivo conectado y por tanto susceptible de ser accedido a distancia.

Para utilizar el patinete no es necesario sincronizarlo con el móvil. Sin embargo, uno de los primeros pasos que deberíamos hacer y la propia compañía nos indica, es instalar la aplicación oficial Mi Home. Es desde esta aplicación donde desde la primera pantalla estableceremos la contraseña que nos servirá para proteger el patinete.

Lo que ocurre es que hay muchos usuarios que no emparejaron el patinete con la aplicación Mi Home y por tanto no tienen una contraseña. Esto pasa en aquellos usuarios que simplemente han decidido no enlazarlo con el móvil. Otro caso es aquellos que compraron el patinete de segunda mano y el dispositivo ya fue enlazado al móvil de otra persona, aquí sí puede haber contraseña pero es posible que no la sepamos.

Cómo bloquear el patinete de otros a través del bluetooth

M365 Desde M365 HUD podemos controlar el patinete, establecer la velocidad y observar datos como la velocidad.

A través de una aplicación de terceros como M365 HUD, podemos llegar a controlar y ver la velocidad del patinete de otras personas. Aunque no es la única, ya que otras similares como m365 Tools o m365 Dashboard también disponen de la misma función.

¿Cómo funciona? Muy sencillo. Se trata de una aplicación para terceros donde simplemente enlazaremos con nuestro patinete para poder controlar la velocidad o ver la energía que queda. Al iniciar la aplicación nos solicita activar el bluetooth. Una vez activado podremos escanear los dispositivos cercanos. Aquí es donde encontraremos nuestro patinete, pero también el de cualquier persona que esté en el rango del bluetooth, que suele llegar hasta unos 20 metros.

Al elegir el patinete, lo primero que nos pide es introducir la contraseña del vehículo. Todo bien, salvo en aquellos patinetes donde no esté establecida ninguna contraseña. Ya que en este caso podremos conectarnos como si el patinete fuera nuestro. De la misma manera que si alguien agarra tu móvil, lo abre si no tienes contraseña, con el patinete se puede hacer algo equivalente en el caso de no haberla configurado. Hemos podido comprobarlo con nuestro patinete Xiaomi y la aplicación permite el acceso sin problemas.

Xiaomi Patinete Una función tan sencilla como bloquear el patinete, puede ser un problema si se realiza sin nuestro permiso.

Esto permite a la aplicación detectar vía bluetooth el patinete de otras personas y conectarse a él. Una vez hecho esto, sin necesidad del permiso de la otra persona, podemos acceder a los modos de uso, la velocidad, la temperatura, el kilometraje y también a la opción de bloquear el patinete.

En concreto la opción de bloquear el patinete de otros nos parecía muy peligrosa, sin embargo debemos avisar que la opción no se puede hacer con el patinete en marcha. Es decir, si pulsamos en bloquear sí funcionará, pero no frena el vehículo. Únicamente cuando se detiene es cuando el bloqueo se lleva a cabo.

Según hemos podido comprobar, el bloqueo del patinete no se puede hacer cuando este está en marcha. Sí activa el comando, pero hasta que no se frena no se hace efectivo el bloqueo.

Al pulsar en la opción de bloqueo lo que hace es impedir que la rueda trasera ruede con normalidad, por lo que el patinete queda inmovilizado. Esto es una opción que también está disponible desde la aplicación oficial y no debe tener más importancia, sin embargo el hecho de poder activarla desde el móvil hace que establecer una contraseña cobre relevancia.

La aplicación no requiere conexión a internet, ya que funciona completamente a través de bluetooth. En caso de querer conectarse a una persona en movimiento, es muy difícil. Los segundos que está cerca son suficientes para que aparezca en la lista, pero no para que accedamos, pongamos una contraseña y pulsemos en bloquear. En caso de querer hacerlo con desconocidos en movimiento, deberíamos movernos nosotros también para poder mantenerse dentro del rango.

Zimperium descubre que también es posible bloquear los patinetes sin contraseña


Actualización: En el artículo original recogíamos cómo un fallo de seguridad hacía vulnerables a los patinetes de Xiaomi sin contraseña. Fallo que, desde Xataka, pudimos comprobar y replicar. Sin embargo, desde Zimperium confirman que puede saltarse el control por contraseña, afectando así a todos los dispositivos independientemente de si están protegidos por clave o no. Hemos actualizado el artículo para reflejarlo.

El fallo de seguridad es todavía más grave de lo que inicialmente habíamos podido comprobar. Según informa Zimperium, hay un error en el proceso de autenticación desde el Bluetooth y los distintos comandos pueden ser realizados sin necesidad de la contraseña. Es decir, según informa la firma de seguridad, la contraseña solo estaría validada a través de la aplicación, pero el propio patinete no necesita la autenticación.

El acceso bluetooth permite acceder a funciones del patinete como el sistema antirrobo (para el bloqueo), el control de velocidad o el modo eco. Una conexión que según ha podido comprobar Zimperium permitiría realizar ataques al firmware del patinete e instalar malware. Por el momento, no hay parche conocido y se espera a que Xiaomi actualice su seguridad y ofrezca un parche para reparar el fallo de seguridad.

Desde Xataka, y al recibir noticias y poder reproducir esta vulnerabilidad, nos pusimos en contacto con Xiaomi, que está investigando el asunto y nos darán pronto una respuesta.

También te recomendamos


La pantalla del móvil ha ido devorando chasis y sensores, pero no ha sido fácil


USB-C estrenará su propio protocolo de seguridad que nos dirá cuando un dispositivo o cargador pueden ser potencialmente dañinos


Preocupación sobre ruedas: 273 accidentes con patinetes eléctricos en España en 2018, la mayoría provocados por los patinadores


La noticia

Un grave fallo de seguridad en los patinetes Xiaomi permite a otros usuarios controlarlo a distancia e incluso bloquearlo

fue publicada originalmente en

Xataka

por
Enrique Pérez

.

More in Xataca

To Top
A %d blogueros les gusta esto: