Специалисты антивирусной компании IOActive обнаружили, что гироскутер Ninebot Segway MiniPro, к которому можно подключаться с помощью смартфона через Bluetooth, слабо защищен от воздействия извне. Эксперты выяснили, что у него выставлен PIN-код 000000, который действует даже после смены. Воспользовавшись этой уязвимостью, консультант IOActive Томас Килбридж смог перехватить управление гироскутером с расстояния в 60 м, что позволило ему взять на себя функции передвижения, ускорения и торможения.
Нужно уточнить, что исследователю не просто удалось перехватить управление, но и сбросить водителя на ходу, а другое транспортное средство взломщик и вовсе угнал за 20 с через подключенный по Bluetooth смартфон. При этом владелец скутера находился рядом и наблюдал за кражей.
Представители IOActive подчеркивают, что обнаруженные уязвимости могут использоваться для причинения физического вреда пользователям Segway. К примеру, установив на устройство вредоносную прошивку, злоумышленник в любой момент может изменить механизмы безопасности, которые не дают устройству перегреваться; попросту угнать гироскутер, заставив его уехать от владельца в неизвестном направлении, или сменить PIN-код, заблокировав пользователю доступ.
Килбридж также отметил, что уязвимым оказалось и официальное мобильное приложение, которое позволяет владельцам устройств Segway удаленно контролировать свои девайсы. Оно показывает местоположение ближайших к пользователю устройств Segway, что, по его мнению, лишь поможет злоумышленнику обнаружить новые цели.
Чтобы уберечь себя от взлома, специалист порекомендовал использовать аутентификацию по Bluetooth и скрывать своё местоположение от других. Килбридж также посоветовал вовремя обновлять ПО сегвеев и держаться подальше от ненужных функций удалённого управления. Разработчики Ninebot уже устранили обнаруженные специалистами проблемы, выпустив новую версию прошивки.
Недавно исследователь в области информационной безопасности с ником x0rz обнаружил уязвимости у некоторых моделей станций спутниковой связи, установленных на кораблях и самолетах. Специалист предположил, что с их помощью можно загрузить вредоносный софт и перехватить управление навигационными системами судов и лайнеров.