Este es el caso del famoso patinete Xiaomi M365, quizás el patinete eléctrico más popular que hay en el mercado. Hay muchas otras variantes y modelos, por supuesto, pero este se ha vendido especialmente bien. Es por eso que, si bien no es ningún drama, es llamativo que se pueda hackear de la forma que les mostraremos a continuación.
El problema de incluir productos tecnológicos muy novedosos en nuestro día a día es que podemos encontrarnos con fallos de seguridad continuos en muchos de estos. Es algo normal y los fabricantes deben luchar para que este número de fallas sea lo menor posible. De hecho, muchos de estos fallos no los notamos siquiera en el día a día, pero cuando se trata de un producto popular, el riesgo aumenta.
“Xiaomi es consciente de la vulnerabilidad que pueden explotar los piratas informáticos con intenciones maliciosas para interrumpir las operaciones de Mi Electric Scooter. Tan pronto como nos enteramos de esta vulnerabilidad, hemos estado trabajando para solucionarlo y hemos eliminado todas las aplicaciones no autorizadas. Mientras tanto, los equipos de productos y seguridad de Xiaomi están preparando una actualización OTA (por aire) y estará disponible lo antes posible. Xiaomi valora los comentarios de nuestros usuarios y la comunidad de seguridad, estamos comprometidos a mejorar constantemente en base a todos los comentarios para construir productos mejores y más seguros”.
Según informan The Verge y los chicos de Zimperium, este patinete se puede hackear perfectamente para controlar la potencia del dispositivo de tal forma que pueda avanzar de golpe o que pueda pegar un frenazo inesperado. En el vídeo encima de estas líneas podemos ver cómo un atacante, explotando la falla de seguridad, puede controlar el patinete del ejemplo.
Esto es posible gracias a un fallo en el módulo Bluetooth del patinete. A través del hack, la firma de investigación Zimperium pudo atacar a cualquier transeúnte que montara cualquier Xiaomi M365 bien bloqueando el patinete, acelerándolo o frenándolo sin tener acceso físico a este. Los investigadores podrían emitir comandos para manipular cualquier scooter a una distancia de hasta 100 metros.
De hecho, en Verge van más allá, asegurando que se podría usar un ataque de denegación de servicio (DoS) para bloquear remotamente cualquier scooter de este modelo que, a su vez, usando malware podría usarse para instalar un nuevo firmware que podría tomar el control total del scooter.
Siendo totalmente objetivos, es casi imposible que tú, como dueño, sufras estos percances. El fallo del Bluetooth se puede solventar poniendo una contraseña desde la aplicación y además el rango de uso del Bluetooth es de unos 20 metros, por lo que simplemente guardándolo en tu casa no tendrás problema.
Además, para hackear el patinete usando los métodos que mencionan Zimperium hay que tener, además del equipo adecuado, los conocimientos necesarios para hacer uso de la falla de seguridad. Es cierto que estos patinetes están siendo usados en flotas de transporte urbano, pero la probabilidad de que un hacker con conocimientos hackee tu patinete es entre ínfima e inexistente.
Pero inevitablemente debemos estar atentos. Ya no hablamos de un dispositivo electrónico que podamos restablecer y punto; recordemos que estas fallas permiten que los atacantes hagan acelerar o frenar de golpe a los patinetes, por lo que ya estamos envueltos en un asunto de seguridad personal. Una persona con los conocimientos y la falta de humanidad suficientes puede causar mucho daño a otra.
Por lo tanto, te encomendamos a que le pongas contraseña a tu patinete desde la aplicación y que además mantengas siempre cerca tu patinete de ti, además de dejarlo totalmente bloqueado cuando no lo uses.
