Un error de seguridad permite 'hackear' el patinete de Xiaomi y tomar control remoto

Es, probablemente, el patinete eléctrico más popular, ahora que este vehículo de movilidad personal se ha puesto de moda en las ciudades de medio mundo. Hablamos de los patinetes de Xiaomi, uno de los que más se pueden ver en las aceras y las carreteras españolas. Pues bien ahora no son noticia por un truco para aumentar su velocidad o potencia o porque haya un nuevo modelo sobre la mesa. Una investigación ha resuelto que el modelo M365, uno de los más vendidos de la compañía, puede tener un error preocupante que podría permitir que un 'hacker' tomase control remoto para aumentar la velocidad o frenar.

Actualización: Xiaomi asegura estár "al corriente de la vulnerabilidad en la que hackers con intenciones maliciosas" podrían explotar y tomar el control de los Mi Electric Scooter. Aseguran haber "estado trabajando en un parche para corregirlo y eliminar todas las aplicaciones no autorizadas". Prometen que una actualización via OTA estará disponible lo antes posible. "Durante este tiempo, recomendamos a los usuarios no descargar aplicaciones de terceros no autorizadas. Xiaomi valora el feedback de la comunidad de seguridad y estamos constantemente mejorando en base a todo ese feedback para construir productos mejores y más seguros", finaliza el comunicado.

TE PUEDE INTERESAR

Vuelven los patinetes de alquiler a Madrid: habrá solo 8.600 y Cabify estará vetado

G.C.

La investigación

El estudio, llevado a cabo por la consultora Zimperium, analizó los elementos de 'software' de estos aparatos. El problema surgió en el módulo bluetooht. Ahí se encontró el fallo. La historia es que esta conexión inalambrica permite conectarse al 'scooter' remotamente sin ningún tipo de contraseña o verificación. Esto ocurre cuando el patinete no ha sido vinculado con la aplicación oficial de Xiaomi en ningún momento, que es cuando permitiría establecer una clave.

El problema es que los investigadores descubrieron que una vez conectado al patinete, se podía instalar otro tipo de 'software' sin que el aparato controlado certique si es oficial o no. Y eso, claro está, abre las puertas a instalar 'malware'. El asunto no es baladí, ya que además de los millones de personas que lo han adquirido en todo el plantea, también ha sido utilizado por flotas compartidas como las de Bird.

Rani Idan, director de investigación de la firma, explica, en declaraciones a Wired, que han contactado con la marca y el problema que tienen es que no desarrollan internamente la codificación del bluetooth sino que lo hacen a través de su proveedor, algo que puede dilatar la solución y la implementación de un parche para este agujero. "Un atacante podría frenar repentinamente o acelerar el patinete de un usuario mientras circula", afirma Idan, que señala la importancia crítica de cuidar todos los aspectos de la seguridad de los sensores y aparatos que conforman el Internet de las Cosas, algo que siempre no ocurre.

Zimperium, que ya detectó fallos en 2017 en segways de Ninebot, recomienda, por el momento, chequear que uno solo instala actualizaciones oficiales y extremar la precaución.