Über kaum ein nachhaltiges Fortbewegungsmittel wird aktuell so diskutiert, wie dem elektronischen Scooter. Die kleinen Flitzer sind die perfekte Alternative, um die letzte Meile zwischen Bushaltestelle und Zielort zu überbrücken. Das Konzept wird auch weltweit sehr gut angenommen, während bei uns nach wie vor noch keine offizielle Freigabe für das Fortbewegungsmittel vorliegt.
Nun gibt es aber schlechte Nachrichten für Scooterfreunde. Wie die Sicherheitsforscher von Zimperium am Dienstag berichteten, könnten Angreifer auf das Bluetoothmodul des Scooters zugreifen und so nach Lust und Laune beschleunigen, beziehungsweise auch eine Notbremsung herbeiführen. Gezeigt haben das die Forscher an einem Scootermodell von Xiaomi, dem M365, der über eine Bluetoothschnittstelle gesperrt werden kann.
During our research, we determined the password is not being used properly as part of the authentication process with the scooter and that all commands can be executed without the password. The password is only validated on the application side, but the scooter itself doesn’t keep track of the authentication state. Zimperium
In dem 48 Sekunden langen Video wird gezeigt, dass jeder vorbeifahrende Scooter von Xiaomi übernommen und aus der Ferne manipuliert werden kann. Einzige Bedingung: Der Scooter muss sich in einer Entfernung von bis zu 100 Metern befinden (was in vielen Szenarien ausreichen dürfte).
Die Lücke wurde bereits von Zimperium an Xiaomi kommuniziert und wird dort als bekannter Fehler geführt. Wann eine Fehlerbehebung ausgerollt wird, ist noch unklar.
Die Auswirkungen auf den Ridesharing-Markt sind ebenfalls noch nicht abschätzbar. Ein Ansprechpartner des Anbieters Bird sprach davon, dass die eigenen Scooter nicht von dem Bug betroffen seien. Lime dagegen kommunizierte, dass das Unternehmen überhaupt keine M365-Modelle in seiner Flotte habe. Das ist aber noch keine Entwarnung, da die Scooter von Xiaomi auch unter anderem Namen verkauft werden.
It might have implications on any ride-sharing service that uses Xiaomi scooters but didn’t disable or replace Xiaomi’s bluetooth module. Moreover, Xiaomi scooters are rebranded and sold under different names, those might be affected. Rani Idan, Sicherheitsforscher bei Zimperium
Insgesamt handelt es sich auch nicht um den ersten negativen Bericht über elektronische Scooter. Bird geriet bereits in die Bredouille, da die eigenen Gefährte mit einem 30-Dollar-Werkzeugkit manipulierbar waren. Dazu war nur eine Plug-and-play-Lösung aus China notwendig, die die Sicherheitsmaßnahmen der Scooter umging und somit unlimitierten Zugriff ermöglichte.
Wie man jetzt mit dem Problem weiter umgeht, wird wahrscheinlich auch von den deutschen Behörden gut beobachtet. Denn nur, wenn gerade bei solchen Softwarefehlern möglichst schnell reagiert und ein Update ausgerollt wird, dann kann von einem sicheren Fortbewegungsmittel gesprochen werden. Sollte das Sicherheitsupdate auf sich warten lassen, dann ist fragwürdig, ob unsichere Scooter überhaupt das Richtige auf deutschen Straßen sind.
Quelle: TheVerge
Mehr Scooter:
