電動キックボードに脆弱性、ハッカーが急加速を命じる場合も

FXQuadro / shutterstock

電動キックボードのシェアリングサービスは、昨年から世界の大都市で急速に広まった。しかし、2つの車輪でかなりのスピードで走行する電動キックボードは、バランスを崩して転倒するケースも多く、安全面の課題も抱えている。

そんな電動キックボードに新たな問題が見つかった。スマホメーカーとして有名な中国のシャオミが製造したM365というモデルに、ハッカーに乗っ取られる危険があるという。悪意を持つハッカーが遠隔操作で、急加速や急停止を命じることが可能だというのだ。

セキュリティ専門家の話では、ハッカーらは100メートルも離れた場所からコマンドを送ることが可能だという。セキュリティ企業Zimperiumのレポートによると、M365は他の多くの電動キックボードと同様に、ブルートゥース経由で専用のモバイルアプリと連携が可能だ。

ユーザーらはアプリを用いて盗難防止機能や、パワーセーブモードの切り替えが可能だ。さらに、車両に内蔵されたファームウェアのアップデートも可能になっている。

一般的にファームウェアを更新する際にはパスワード入力が必須となっており、M365のユーザーらは、誰でも推測可能なデフォルトのパスワードを書き換えることを推奨されている。しかし、Zimperiumの調査でM365の認証プロセスには欠陥があることが判明した。

ZimperiumのアナリストのRani Idanは「正式な認証プロセスを回避して、車体の動きを完全にコントロールすることが可能だ」と述べた。通常はウェブサイトへのアタックに用いられるDoS攻撃の手法を用いて、Zimperiumの調査チームはM365の車両を、離れた場所からロックすることに成功した。

また、特定の車両をターゲットにした攻撃で、加速させたり、急停止させることも可能だという。最悪のケースとしては、シャオミのオリジナルのファームウェアを書き換えて、悪意を持つソフトに入れ替えることも出来るようだ。

Zimperiumはこの脆弱性をシャオミに伝えたが、現時点ではまだ修正は行われていないという。同社はM365のユーザーたちに、乗車中は必ず専用アプリと車体との間のブルートゥース通信をオンしておくように求めている。この対処を行えば、ハッカーに車両のコントロールを奪われることはないという。

編集=上田裕資

タグ:

ForbesBrandVoice

人気記事