そんな電動キックボードに新たな問題が見つかった。スマホメーカーとして有名な中国のシャオミが製造したM365というモデルに、ハッカーに乗っ取られる危険があるという。悪意を持つハッカーが遠隔操作で、急加速や急停止を命じることが可能だというのだ。
セキュリティ専門家の話では、ハッカーらは100メートルも離れた場所からコマンドを送ることが可能だという。セキュリティ企業Zimperiumのレポートによると、M365は他の多くの電動キックボードと同様に、ブルートゥース経由で専用のモバイルアプリと連携が可能だ。
ユーザーらはアプリを用いて盗難防止機能や、パワーセーブモードの切り替えが可能だ。さらに、車両に内蔵されたファームウェアのアップデートも可能になっている。
一般的にファームウェアを更新する際にはパスワード入力が必須となっており、M365のユーザーらは、誰でも推測可能なデフォルトのパスワードを書き換えることを推奨されている。しかし、Zimperiumの調査でM365の認証プロセスには欠陥があることが判明した。
ZimperiumのアナリストのRani Idanは「正式な認証プロセスを回避して、車体の動きを完全にコントロールすることが可能だ」と述べた。通常はウェブサイトへのアタックに用いられるDoS攻撃の手法を用いて、Zimperiumの調査チームはM365の車両を、離れた場所からロックすることに成功した。
また、特定の車両をターゲットにした攻撃で、加速させたり、急停止させることも可能だという。最悪のケースとしては、シャオミのオリジナルのファームウェアを書き換えて、悪意を持つソフトに入れ替えることも出来るようだ。
Zimperiumはこの脆弱性をシャオミに伝えたが、現時点ではまだ修正は行われていないという。同社はM365のユーザーたちに、乗車中は必ず専用アプリと車体との間のブルートゥース通信をオンしておくように求めている。この対処を行えば、ハッカーに車両のコントロールを奪われることはないという。
