Un grave fallo de seguridad en los patinetes Xiaomi permite a otros usuarios controlarlo a distancia e incluso bloquearlo
Los patinetes eléctricos están cambiando la movilidad urbana, hasta tal punto que las autoridades están adaptando la legislación a estos nuevos vehículos de movilidad personal (VMP) y limitar su velocidad. Uno de los modelos que más ha contribuido a esta expansión es el Xiaomi Mi Electric Scooter y aunque no es el único, sí es de los más populares.
Además de la aplicación oficial Mi Home, existen múltiples aplicaciones de terceros compatibles que sirven para controlar otros aspectos del patinete. Una de ellas es M365 HUD y entre sus funciones está la de bloquear el patinete desde el móvil. Pero para nuestra sorpresa, hemos detectado que aplicaciones como esta permiten también bloquear el patinete de otras personas. Un grave fallo de seguridad ya que permite de manera sencilla acceder a información de otra persona e incluso controlar su dispositivo sin su permiso.
Adicionalmente, desde Zimperium informan que no sería necesaria la contraseña para poder acceder al patinete de otros usuarios. Un grave fallo de seguridad que pone en riesgo la circulación de los usuarios.
Si nunca emparejaste el patinete con Mi Home, entonces no tienes contraseña
La mayoría de usuarios tiene un sistema de seguridad en el móvil, sea un código PIN, el desbloqueo facial o el lector de huellas. Sin embargo en los patinetes no siempre ocurre lo mismo. Al ser un producto relativamente nuevo y no contener información personal, uno no tiene la sensación de necesitar una contraseña para poder utilizarlo. Pero es un error, ya que estamos ante un dispositivo conectado y por tanto susceptible de ser accedido a distancia.
Para utilizar el patinete no es necesario sincronizarlo con el móvil. Sin embargo, uno de los primeros pasos que deberíamos hacer y la propia compañía nos indica, es instalar la aplicación oficial Mi Home. Es desde esta aplicación donde desde la primera pantalla estableceremos la contraseña que nos servirá para proteger el patinete.
Lo que ocurre es que hay muchos usuarios que no emparejaron el patinete con la aplicación Mi Home y por tanto no tienen una contraseña. Esto pasa en aquellos usuarios que simplemente han decidido no enlazarlo con el móvil. Otro caso es aquellos que compraron el patinete de segunda mano y el dispositivo ya fue enlazado al móvil de otra persona, aquí sí puede haber contraseña pero es posible que no la sepamos.
Cómo bloquear el patinete de otros a través del bluetooth
Desde M365 HUD podemos controlar el patinete, establecer la velocidad y observar datos como la velocidad. A través de una aplicación de terceros como M365 HUD, podemos llegar a controlar y ver la velocidad del patinete de otras personas. Aunque no es la única, ya que otras similares como m365 Tools o m365 Dashboard también disponen de la misma función.
¿Cómo funciona? Muy sencillo. Se trata de una aplicación para terceros donde simplemente enlazaremos con nuestro patinete para poder controlar la velocidad o ver la energía que queda. Al iniciar la aplicación nos solicita activar el bluetooth. Una vez activado podremos escanear los dispositivos cercanos. Aquí es donde encontraremos nuestro patinete, pero también el de cualquier persona que esté en el rango del bluetooth, que suele llegar hasta unos 20 metros.
Al elegir el patinete, lo primero que nos pide es introducir la contraseña del vehículo. Todo bien, salvo en aquellos patinetes donde no esté establecida ninguna contraseña. Ya que en este caso podremos conectarnos como si el patinete fuera nuestro. De la misma manera que si alguien agarra tu móvil, lo abre si no tienes contraseña, con el patinete se puede hacer algo equivalente en el caso de no haberla configurado. Hemos podido comprobarlo con nuestro patinete Xiaomi y la aplicación permite el acceso sin problemas.
Una función tan sencilla como bloquear el patinete, puede ser un problema si se realiza sin nuestro permiso. Esto permite a la aplicación detectar vía bluetooth el patinete de otras personas y conectarse a él. Una vez hecho esto, sin necesidad del permiso de la otra persona, podemos acceder a los modos de uso, la velocidad, la temperatura, el kilometraje y también a la opción de bloquear el patinete.
En concreto la opción de bloquear el patinete de otros nos parecía muy peligrosa, sin embargo debemos avisar que la opción no se puede hacer con el patinete en marcha. Es decir, si pulsamos en bloquear sí funcionará, pero no frena el vehículo. Únicamente cuando se detiene es cuando el bloqueo se lleva a cabo.
Al pulsar en la opción de bloqueo lo que hace es impedir que la rueda trasera ruede con normalidad, por lo que el patinete queda inmovilizado. Esto es una opción que también está disponible desde la aplicación oficial y no debe tener más importancia, sin embargo el hecho de poder activarla desde el móvil hace que establecer una contraseña cobre relevancia.
La aplicación no requiere conexión a internet, ya que funciona completamente a través de bluetooth. En caso de querer conectarse a una persona en movimiento, es muy difícil. Los segundos que está cerca son suficientes para que aparezca en la lista, pero no para que accedamos, pongamos una contraseña y pulsemos en bloquear. En caso de querer hacerlo con desconocidos en movimiento, deberíamos movernos nosotros también para poder mantenerse dentro del rango.
Desde Xataka, y al recibir noticias y poder reproducir esta vulnerabilidad, nos pusimos en contacto con Xiaomi, que está investigando el asunto y nos darán pronto una respuesta.
Zimperium descubre que también es posible bloquear los patinetes sin contraseña
En el artículo original se reflejaba que desde Xataka pudimos comprobar efectivamente que es posible bloquear a distancia el patinete de otros usuarios. Aunque únicamente pudimos realizarlo desde aplicaciones de terceros. Pese a todo, también es posible bloquear el patinete aunque esté configurada la contraseña.
El fallo de seguridad es todavía más grave de lo que inicialmente habíamos podido comprobar. Según informa Zimperium, hay un error en el proceso de autenticación desde el Bluetooth y los distintos comandos pueden ser realizados sin necesidad de la contraseña. Es decir, según informa la firma de seguridad, la contraseña solo estaría validada a través de la aplicación, pero el propio patinete no necesita la autenticación.
El acceso bluetooth permite acceder a funciones del patinete como el sistema antirrobo (para el bloqueo), el control de velocidad o el modo eco.
También te recomendamos
La pantalla del móvil ha ido devorando chasis y sensores, pero no ha sido fácil
–
La noticia
Un grave fallo de seguridad en los patinetes Xiaomi permite a otros usuarios controlarlo a distancia e incluso bloquearlo
fue publicada originalmente en
Xataka
por
Enrique Pérez
.
