Mise à jour du 19 mars 2019 :
Une mise à jour est disponible pour votre trottinette afin de combler cette faille. Xiaomi indique la démarche à suivre :
« Xiaomi a mis à disposition des propriétaires du Mi Electric Scooter une mise à jour logicielle OTA (Version 1.5.1), dont l’objectif est de corriger les vulnérabilités détectées le mois dernier.
Pour la recevoir, les utilisateurs doivent installer la dernière version de l’application Mi Home / Xiaomi Home app : Android version 5.5.0 ou iOS version 4.13.101 ».
Mise à jour du 14 février 2019 :
Après publication de la première version de cet article, Xiaomi a tenu à répondre en rassurant ses clients. Vous trouverez les déclarations du constructeur en fin de ce papier.
Article original publié le 13 février :
De plus en plus répandue dans les milieux urbains, la trottinette électrique fait partie de ces nouveaux moyens de locomotions en pleine expansion. Comme la Xiaomi M365, un modèle répandu et accessible, configurable sans fil via l’application compagnon Segway-Ninebot.
Si les échanges d’informations entre la trottinette Xiaomi M365 et l’application officielle sont sécurisés par un mot de passe, il est possible de communiquer directement avec la trottinette sans passer par l’application officielle et donc sans avoir besoin de s’authentifier. Cette faille a été découverte par la société Zimperium qui, dans un billet de blog, explique et illustre comment il est possible de contrôler une trottinette à distance.
Grâce à une application malveillante développée pour illustrer ses propos, la société Zimperium montre comment elle peut agir directement sur des trottinettes Xiaomi M365 sans en être le propriétaire dans un rayon de 100 mètres. Trois actions sont possibles : verrouiller à distance la trottinette, agir sur les freins et l’accélération et déployer un malware capable de faire accélérer la trottinette à distance.
La sécurité des utilisateurs en question
Tous ces moyens d’interagir à distance avec une trottinette Xiaomi posent d’évidents problèmes de sécurité. Avec des vitesses de pointe à 25 km/h, un freinage soudain ou une perte de contrôle du véhicule peut entraîner des chutes dangereuses pour le conducteur ainsi que pour les autres personnes présentes sur la voie publique.
D’autant plus qu’avec une interdiction imminente des trottinettes électriques sur les trottoirs français, ces nouveaux moyens de locomotions devront donc, logiquement, partager la chaussée avec les véhicules motorisés et les cyclistes. Là où le moindre écart de conduite peut avoir des conséquences plus graves tant la vitesse y est plus importante.
Contacté et prévenu de la faille par Zimperium, Xiaomi a fait savoir que cette défaillance était connue. Elle travaille avec la société Segway-Ninebot, qui a participé à la conception de la M365, afin de trouver les solutions adéquates.
Une incertitude demeure cependant concernant les trottinettes disponibles en libre-service, comme Bird qui utilise justement cette Xiaomi M365. Si le châssis est le même, le système intégré y est un peu modifié pour justement communiquer exclusivement avec l’application du service Bird.
La réponse de Xiaomi
Après publication de cet article, voici ce qu’a tenu à affirmer Xiaomi pour taire les inquiétudes de ses utilisateurs :
Xiaomi apporte le plus grand soin à la conception et à la fabrication de ses produits, et prend très à cœur les retours de ses utilisateurs ainsi que la sécurité de sa communauté.
C’est pourquoi, dès que nous avons été informés de la possibilité pour des hackers mal intentionnés, de prendre contrôle à distance des trottinettes en marche, nous avons commencé à travailler sur une solution pour y remédier et bloquer l’accès à toute application non autorisée. En parallèle, les équipes produits et sécurité de Xiaomi préparent une mise à jour OTA qui sera disponible au plus vite.
Nous sommes pleinement engagés dans l’amélioration constante de nos produits et services, notamment sur la base des retours reçus, afin de proposer des produits toujours performants et plus sûrs.
Pour aller plus loin
Test de la Xiaomi M365 « Mijia », une trottinette électrique séduisante
Votre café et votre dose de tech vous attendent sur WhatsApp chaque matin avec Frandroid.
🤣🤣🤣
Faut pas faire lire ce message à un grand père ! C'est un coup à ce qu'il s'étouffe avec sa soupe ! 😮
faut pas payer en sans contact, on le dit et repete. sort tes billets
et le téléphone lui il interroge pas la banque non plus ? (ça ferais double sécurité)
En quoi mon exemple serait-il idiot ? La faille existe dans le protocole de payement sans contact. C’est un fait. Si je vais dans un magasin aux US dont le TPE est hors ligne, alors je peux payer, me barrer avec ce que j’achete, puis le commerçant, le soir, verra le payement refusé. Le protocole sans contact est faillible. Le protocole de communication inter-bancaire ne l’est pas (l’est Moins ?) et permet de sauver les meubles. Accessoirement, quand tu trouves une faille dans le secteur bancaire, tu évites de faire trop de vagues sauf si t’es vraiment vraiment sûr de toi.
Lol, tu n'as jamais entendu parler du petit malin qui était passé dans le metro en allemagne et hop il choppait tous les numeros de cartes via le NFC. Et a ton avis pourquoi les banques elles t'offrent souvent un cache pour glisser ta carte NFC pour empêcher de la lire quand tu ne la sort pas? :)
C’est assez simple pourtant. Le payement sans contact est plafonné à 30€. Le payement en devises est autorisé en sans contact. Les cartes sans contact n’ont pas connaissance du cours des monnaies. Conséquence : tu peux faire un achat de 9999999 avec ta carte sans contact. Le TPE n’y verra que du feu. Ensuite, les serveurs de ta banque bloqueront la transaction. Mais ça nécessite que le TPE soit configuré pour faire une demande systématique d’autorisation à la banque. Si il est en mode hors ligne, la transaction passe. Je te laisse méditer là dessus. On est dans un cas particulier. Mais faille il y a.
Le téléphone, ça dépend comment c’est implémenté. C’est pas du payement sans contact basique (c’est pour ça que les terminaux nécessitent d’etre Mis à jour pour supporter les smartphones). Par exemple, Leclerc a désactivé Apple Pay dans l’ensemble de ses magasins parce qu’Apple n’a pas correctement implémenté le payement sans contact dans son code. Sur une carte bancaire à autorisation systématique et débit immédiat ajoutée à Apple Pay, Apple n’indiquait pas que le moyen de payement était à autorisation systématique ... donc les terminaux n’effectuaient pas forcément les vérifications auprès des banques. Et des clients pouvaient donc partir sans payer (Enfin en payant sans avoir le solde sur le compte et avec la transaction validée quand même).
https://uploads.disquscdn.com/images/6c6f5f9d260571dd0b9f30050abe4bdbb355009d700658d155badbdb693ea698.jpg
Ca sent le blocage complet... Pour ceux qui sont passés par DownG pour modifier légèrement le firmware à leur sauce qui sont, forcément, sur une version antérieure... Sauf solution miracle, il faudra choisir entre garder son "tweak" ou update au risque de revenir d'origine sans rollback possible.
Encore un qui raconte n'importe quoi. Ton exemple est idiot sachant que dans ton cas l'argent ne sera au final pas débité, bloqué par la banque et donc jamais reçu.
Enlève ton chapeau en alu et donne un lien vers un "reportage sérieux" qui explique que c'est facile de pirater une carte PSC. Bonne chance.
C'est un complot pour conduire les réfractaires vers les Xiaomi store
Depuis quand tu crois les chiffres officiels ? Tu crois aux statistiques de la mortalité routière ? A la remontée dans les sondages de Macron ? Et aux armes de destruction massive en Irak ? Des reportages sérieux ont déjà prouvé qu'il était facile de pirater une carte PSC, mais dans des conditions très particulières comme pour les trottinettes... Et pour rappel, la NSA pirate le monde entier et nous fait chier avec Huawei... Il y a des enculeurs de mouche experts dont c'est la seule vocation, tester toutes les failles même si c'est dans des conditions irréalistes... Encore une fois, c'est juste pour le buzz...
Je confirme je me suis raté encore ce matin, pas réveillé à 6h j'ai pas vu le trottoir un peu trop haut, je me suis rattrapé tout juste mais mon dos en a pâtit ! Alors si je me fais pirater je vais tomber en morceaux 🤣
Paiment sans contact piratable ? Ben non, les chiffres officiels sont formels = 0
Encore un article pour le buzz... Quasiment tout est piratable, l'IOT, le paiement sans contact... Pensez vous que des méchants vous attendent pour pirater votre trottinette, lol ? En plus, en BT, bonjour la portée... On touche au ridicule. Il vaudrait mieux s'intéresser aux 10 millions de mouchards/spywares présents dans les applications Android, même les plus anodines...
Osef la campagne de pub, euh de bon plan est finit, faut racheter la nouvelle qui est patché maintenant épicétou.
Inquiétant de pouvoir agir sur l’accélération et le freinage avec avec une appli, officielle ou non
Faut m'expliquer comment avec le bluetooth, ils arrivent a agir sur 100m sur la trot? Portée du bluetooth c'est 10m voir 15 avec le vent dans le dos, un soir de pleine lune, la tête à l'envers, en faisant le moonwalk. Mettre un mot de passe ne suffirai pas à parer le soucis?
Rho réfractaire a l'évolution
MDR. faut vraiment arreter de tout vouloir piloter et controler depuis son mobile ... quel interet ? en fait les gens sont malades , tres malade. meme un bic doit etre connecté.
il n'empeche. si tu gère un parc de 50 trotinettes a la location, tu peut te poser des questions.
Ouais mais c'est du Xiaomi, c'est pas cher, donc on ne peut que vous recommander de l'acheter (sur Gearbest, ofc) !
A montrer que le constructeur a fait l'impasse sur la sécurité de leurs engins
oui faire tomber qqun et faire le bbbbuuuzzzz sur le oueb et les réseaux sochiaux ! ça ça n'a pas de prix, et pour tout le reste il y a...........
Oui j'ai du mal à voir le besoin derrière ça. Ça sert vraiment ?
Oui j'ai du mal à voir le besoin derrière ça. Ça sert vraiment ?
Et bizarrement frandroid ne parle jamais des failles du même type pour Tesla, cherchez pourquoi ^^
C'est pas la première fois que FrAndroid propose un truc piratable ou en rapport avec le piratage.
Alors toi😂
Donc cela nécessite un boitier additionnel pour envoyer le signal assez fort, avoir la chance que la personne n'a pas sont propre smartphone déjà connecté et être quand même assez rapide pour pirater la chose... Sa spécule quand même pas mal je trouve.
C'est possible ! Source : https://fr.wikipedia.org/wiki/Bluetooth
Les utilisateurs de ce genre d'engins tombent déja assez tout seuls si en plus on peut les faire tomber à distance il va falloir construire des hôpitaux supplémentaires...
aïe et dire que c'est la trot qui a été conseillée et re conseillée, par FrAndroid :/
oulalalala mauvais point pour cette trottinette ! dommage vite il faut qu'il patch ceci !
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix