logo

電動スクーター「Xiaomi M365」に脆弱性--完全な遠隔制御が可能になるおそれ

Steven Musil (CNET News) 翻訳校正: 編集部2019年02月14日 10時06分
  • このエントリーをはてなブックマークに追加

 セキュリティ企業のZimperiumが米国時間2月12日に明らかにした情報によると、複数のスクーターレンタル会社が使用する「Xiaomi M365」電動スクーターに脆弱性が含まれており、ハッカーによる完全な遠隔制御(例えば、スクーターの急加速や急ブレーキ)が可能になるおそれがあるという。Zimperiumは、Bluetooth経由で実行されるM365のパスワード認証プロセスに問題があると主張している。

Xioami M365
Xioami M365
提供:Sean Hollister/CNET

 Zimperiumはウェブサイトに掲載した記事の中で、「われわれの調査で、パスワードがM365の認証プロセスの一部として適切に使用されていないこと、そして、パスワードなしですべてのコマンドを実行できることが確認された。パスワードはアプリケーション側でのみ検証されるが、スクーター自体は認証状態を追跡しない」と述べた。

 研究者らは、必要な認証をせずに、M365の盗難防止システムやクルーズコントロール、エコモードを操作したり、ファームウェアをアップデートしたりできるとした。

 Zimperiumは、アプリで近くのM365をスキャンし、盗難防止機能を通してスクーターを無効化する様子を撮影した概念実証動画を公開した。このような操作は半径100m以内のあらゆるM365に対して有効だという。

 今回の脆弱性の発見により、電動スクーターを取り巻く懸念がさらに高まるだろう。電動スクーターが米国の多くの都市に普及し、規制当局がこの新しい交通手段に関する法律の制定を急ぐ中で、電動スクーターは論争の的になっている。

 Zimperiumは、既にこの脆弱性をXiaomiに報告済みだと述べた。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]