[Actualizado] Un grave fallo de seguridad en los patinetes Xiaomi permite a otros usuarios controlarlo a distancia e incluso bloquearlo

[Actualizado] Un grave fallo de seguridad en los patinetes Xiaomi permite a otros usuarios controlarlo a distancia e incluso bloquearlo
20 comentarios Facebook Twitter Flipboard E-mail

Los patinetes eléctricos están cambiando la movilidad urbana, hasta tal punto que las autoridades están adaptando la legislación a estos nuevos vehículos de movilidad personal (VMP) y limitar su velocidad. Uno de los modelos que más ha contribuido a esta expansión es el Xiaomi Mi Electric Scooter y aunque no es el único, sí es de los más populares.

Además de la aplicación oficial Mi Home, existen múltiples aplicaciones de terceros compatibles que sirven para controlar otros aspectos del patinete. Una de ellas es M365 HUD y entre sus funciones está la de bloquear el patinete desde el móvil. Pero para nuestra sorpresa, hemos detectado que aplicaciones como esta permiten también bloquear el patinete de otras personas. Un grave fallo de seguridad ya que permite de manera sencilla acceder a información de otra persona e incluso controlar su dispositivo sin su permiso.

Adicionalmente, desde Zimperium informan que no sería necesaria la contraseña para poder acceder al patinete de otros usuarios. Un grave fallo de seguridad que pone en riesgo la circulación de los usuarios.

Actualización (19/03/2019): desde Xiaomi nos confirman que ya se ha liberado la nueva OTA que arreglaría el problema descrito con los patinetes. Para recibir la actualización hará falta actualizar a la última versión de Mi Home.

Si nunca emparejaste el patinete con Mi Home, entonces no tienes contraseña

La mayoría de usuarios tiene un sistema de seguridad en el móvil, sea un código PIN, el desbloqueo facial o el lector de huellas. Sin embargo en los patinetes no siempre ocurre lo mismo. Al ser un producto relativamente nuevo y no contener información personal, uno no tiene la sensación de necesitar una contraseña para poder utilizarlo. Pero es un error, ya que estamos ante un dispositivo conectado y por tanto susceptible de ser accedido a distancia.

Para utilizar el patinete no es necesario sincronizarlo con el móvil. Sin embargo, uno de los primeros pasos que deberíamos hacer y la propia compañía nos indica, es instalar la aplicación oficial Mi Home. Es desde esta aplicación donde desde la primera pantalla estableceremos la contraseña que nos servirá para proteger el patinete.

Lo que ocurre es que hay muchos usuarios que no emparejaron el patinete con la aplicación Mi Home y por tanto no tienen una contraseña. Esto pasa en aquellos usuarios que simplemente han decidido no enlazarlo con el móvil. Otro caso es aquellos que compraron el patinete de segunda mano y el dispositivo ya fue enlazado al móvil de otra persona, aquí sí puede haber contraseña pero es posible que no la sepamos.

Cómo bloquear el patinete de otros a través del bluetooth

M365
Desde M365 HUD podemos controlar el patinete, establecer la velocidad y observar datos como la velocidad.

A través de una aplicación de terceros como M365 HUD, podemos llegar a controlar y ver la velocidad del patinete de otras personas. Aunque no es la única, ya que otras similares como m365 Tools o m365 Dashboard también disponen de la misma función.

¿Cómo funciona? Muy sencillo. Se trata de una aplicación para terceros donde simplemente enlazaremos con nuestro patinete para poder controlar la velocidad o ver la energía que queda. Al iniciar la aplicación nos solicita activar el bluetooth. Una vez activado podremos escanear los dispositivos cercanos. Aquí es donde encontraremos nuestro patinete, pero también el de cualquier persona que esté en el rango del bluetooth, que suele llegar hasta unos 20 metros.

Al elegir el patinete, lo primero que nos pide es introducir la contraseña del vehículo. Todo bien, salvo en aquellos patinetes donde no esté establecida ninguna contraseña. Ya que en este caso podremos conectarnos como si el patinete fuera nuestro. De la misma manera que si alguien agarra tu móvil, lo abre si no tienes contraseña, con el patinete se puede hacer algo equivalente en el caso de no haberla configurado. Hemos podido comprobarlo con nuestro patinete Xiaomi y la aplicación permite el acceso sin problemas.

Xiaomi Patinete
Una función tan sencilla como bloquear el patinete, puede ser un problema si se realiza sin nuestro permiso.

Esto permite a la aplicación detectar vía bluetooth el patinete de otras personas y conectarse a él. Una vez hecho esto, sin necesidad del permiso de la otra persona, podemos acceder a los modos de uso, la velocidad, la temperatura, el kilometraje y también a la opción de bloquear el patinete.

En concreto la opción de bloquear el patinete de otros nos parecía muy peligrosa, sin embargo debemos avisar que la opción no se puede hacer con el patinete en marcha. Es decir, si pulsamos en bloquear sí funcionará, pero no frena el vehículo. Únicamente cuando se detiene es cuando el bloqueo se lleva a cabo.

Según hemos podido comprobar, el bloqueo del patinete no se puede hacer cuando este está en marcha. Sí activa el comando, pero hasta que no se frena no se hace efectivo el bloqueo.

Al pulsar en la opción de bloqueo lo que hace es impedir que la rueda trasera ruede con normalidad, por lo que el patinete queda inmovilizado. Esto es una opción que también está disponible desde la aplicación oficial y no debe tener más importancia, sin embargo el hecho de poder activarla desde el móvil hace que establecer una contraseña cobre relevancia.

La aplicación no requiere conexión a internet, ya que funciona completamente a través de bluetooth. En caso de querer conectarse a una persona en movimiento, es muy difícil. Los segundos que está cerca son suficientes para que aparezca en la lista, pero no para que accedamos, pongamos una contraseña y pulsemos en bloquear. En caso de querer hacerlo con desconocidos en movimiento, deberíamos movernos nosotros también para poder mantenerse dentro del rango.

Zimperium descubre que también es posible bloquear los patinetes sin contraseña

Actualización: En el artículo original recogíamos cómo un fallo de seguridad hacía vulnerables a los patinetes de Xiaomi sin contraseña. Fallo que, desde Xataka, pudimos comprobar y replicar. Sin embargo, desde Zimperium confirman que puede saltarse el control por contraseña, afectando así a todos los dispositivos independientemente de si están protegidos por clave o no. Hemos actualizado el artículo para reflejarlo.

El fallo de seguridad es todavía más grave de lo que inicialmente habíamos podido comprobar. Según informa Zimperium, hay un error en el proceso de autenticación desde el Bluetooth y los distintos comandos pueden ser realizados sin necesidad de la contraseña. Es decir, según informa la firma de seguridad, la contraseña solo estaría validada a través de la aplicación, pero el propio patinete no necesita la autenticación.

El acceso bluetooth permite acceder a funciones del patinete como el sistema antirrobo (para el bloqueo), el control de velocidad o el modo eco. Una conexión que según ha podido comprobar Zimperium permitiría realizar ataques al firmware del patinete e instalar malware. Por el momento, no hay parche conocido y se espera a que Xiaomi actualice su seguridad y ofrezca un parche para reparar el fallo de seguridad.

Preguntados por Xataka, desde Xiaomi responden con el siguiente comunicado:

Xiaomi está al corriente de la vulnerabilidad en la que hackers con intenciones maliciosas podrían explotar y tomar el control de los Mi Electric Scooter. Tan pronto como encontramos esta vulnerabilidad, hemos estado trabajando en un parche para corregirlo y eliminar todas las aplicaciones no autorizadas. Una actualización via OTA estará disponible lo antes posible. Durante este tiempo, recomendamos a los usuarios no descargar aplicaciones de terceros no autorizadas. Xiaomi valora el feedback de la comunidad de seguridad y estamos constantemente mejorando en base a todo ese feedback para construir productos mejores y más seguros.

Comentarios cerrados
Inicio