Es el más popular. Y seguro que la mayoría de los patinetes eléctricos que ves por la calle son el modelo M365 scooter de Xiaomi. Ahora, ha trascendido que presenta una vulnerabilidad que permite a un potencial atacante controlar de forma remota los controles del vehículo.

Uno de los componentes del M365 scooter, el módulo de conectividad bluetooth que permite comunicar el vehículo con el «smartphone», presenta una vulnerabilidad que lo expone a terceros, tal y como ha descubierto la firma de ciberseguridad Zimperium.

La vulnerabilidad hace que la vinculación entre patinete y «smartphone» vía bluetooth no solicite contraseña ni ningún otro tipo de credencial. Asimismo, el patinete puede comprometerse con la instalación de «firmware» malicioso sin que sus sistemas detecten que no es u programa oficial.

La clave de este error de seguridad es que el patinete se puede conectar con el «smartphone» a través de diferentes aplicaciones, no solo desde la oficial, la Mi Home de Xiaomi. También puede conectarse con otras «apps» como M365 HUD que permite incluso bloquear el patinete desde el móvil.

Este «hackeo», que no exige ningún tipo de contraseña o verificación, sucede cuando el patinete no está vinculado a la «app» oficial, que sí exige una clave. Así, un tercero puede acceder al patinete e instalar «malware» en él para tener control de forma remota. Es decir, un atacante con malas intenciones podría acelerar o frenar el patinete sin que el usuario pueda evitarlo, además de acceder a su información personal.

Reacciones
«Xiaomi es …