El patinete eléctrico M365 de Xiaomi, un popular modelo utilizado por particulares pero también por firmas de alquiler como Bird, posee un grave agujero de seguridad que permite su manipulación remota por parte de terceros con grave peligro para la integridad del usuario. Así ha sido desvelado por la firma de seguridad informática Zimperium, que han publicado en YouTube una "prueba de contacto" donde un supuesto atacante manipula desde un móvil el funcionamiento del vehículo.
Según detallan los investigadores, el proceso comienza con un ataque de denegación de servicio que bloquea de forma remota el patinete, para a continuación instalar un paquete de malware con un nuevo firmware que introduce las funciones de control remoto. Una vez actualizado, el patinete queda en manos del atacante. El origen de la vulnerabilidad reside en el módulo Bluetooth utilizado y permite el manejo del patinete a distancias de hasta 100 metros.
Las herramientas necesarias para lanzar este tipo de ataques no han sido publicadas por razones de seguridad.
Zimperium asegura que el fallo fue reportado a Xiaomi para su parcheo, pero la compañía aún no ha actualizado el producto. Según The Verge, los investigadores no utilizaron la herramienta de Xiaomi para notificar este tipo de fallos, mientras que Zimperium ha proporcionado una copia del informe enviado a través del portal de seguridad de Xiaomi, donde el bug aparece descrito como "un problema conocido internamente".
Sea como sea, Zimperium se ha limitado a comunicar y explicar el fallo de forma superficial para concienciar a las partes involucradas (desde Xiaomi a los propios consumidores) del riesgo que implica el acceso inalámbrico a los controles básicos de un vehículo a motor, aunque sea para proporcionar funciones inicialmente benignas como el bloqueo antirrobo o el control de crucero.
Si bien Xiaomi es la marca más conocida de este patinete y en última instancia es la responsable del mantenimiento de su firmware, el producto en cuestión es fabricado por Segway-Ninebot, una sociedad conjunta china que también lo proporciona a firmas como Bird (hasta hace muy poco presente en Madrid). No está claro si los modelos utilizados por estas compañías también están afectados.
