Segway hoverboard door lekken op afstand over te nemen
Beveiligingsonderzoeker Thomas Kilbride heeft in een populair hoverboard van Segway verschillende ernstige kwetsbaarheden ontdekt waardoor de apparaten op afstand zijn over te nemen en de privacy van bestuurders in het geding is (pdf). Het gaat om de Segway/Ninebot MiniPRO Hoverboard.
Via de kwetsbaarheden is het mogelijk om de veiligheidssystemen te omzeilen en op afstand het apparaat over te nemen. Vervolgens kan een aanvaller de snelheid of richting aanpassen of de motor uitschakelen. Het hoverboard wordt geleverd met een app waarmee de gebruiker de lichtkleuren kan aanpassen, het hoverboard op afstand kan bedienen, de batterijduur en het resterend bereik kan zien.
De bestuurder kan wel een pincode instellen om de app via bluetooth verbinding te laten maken, maar Kilbride ontdekte dat het hoverboard de standaard pincode van 000000 niet wijzigt. Na verbinding te hebben gemaakt kan een aanvaller kwaadaardige firmware-updates installeren. De integriteit van de firmware-update wordt namelijk niet gecontroleerd. Daarnaast bleek dat hoverboard-bestuurders in het gebied via de gps van hun smartphone werden geïndexeerd.
De locatie van elke bestuurder wordt daarnaast gepubliceerd en is publiek beschikbaar. "Zodoende kunnen de hoverboards worden gevonden, gevolgd, gekaapt en bestuurd zonder dat de bestuurder dit doorheeft", laat Kilbride weten. Segway werd op 24 december vorig jaar ingelicht en kwam in april met een nieuwe versie van de app waarin de ernstigste problemen zijn verholpen. Gebruikers van het hoverboard krijgen dan ook het advies om de meest recente versie van de app te installeren. In onderstaande video worden de kwetsbaarheden gedemonstreerd.
Een stuur zit niet vast aan de wielen, je kan veranderen hoe die reageert,
met een firmware update willen ze alles kunnen verbeteren, ( alsof ze niets goeds maken van de fabriek uit ? ),
ik hoop dat ze een extra chip voor belangrijke dingen zoals je stuur erin zetten die je niet kan updaten, die zal tog wel af zijn.
Het is makkelijk om alles te kunnen aanpassen met 1 chip update.
Ik kan geen goed antwoord geven, ik kijk nergens van op als het zo is, is per auto verschillend,
ik vind dat er wetgeving voor moet komen, maarja daar hebben ze geen verstand van die politiek.
Beter vind ik als ze eerst hun computers veilig maken voordat ze zelfrijdende autos maken.
Ik zie het nergens zweven.
Zo zo...Da's van groot nut!
Als ik iemand trots zou vertellen dat ik mijn fiets met een app op afstand kan bedienen, rent men waarschijnlijk weg onder het uitroepen van "HELP EEN GEVAARLIJKE GEK!!"
Nou zal dat wel komen omdat ik dan zo'n uitspraak alleen zou doen ten overstaan van leeftijdsgenoten met grijze of kale koppen maar.... ziet iemand nou wèrkelijk enig nut in zo'n nekkenbreker, en dan ook nog op afstand te bedienen. Ik veeg het weg onder de noemer onzin produkten, zoals neus- of oorhaarknippers.
Hoverboard? Omkiepbord is toepasselijker De enige die ik ooit in mijn deurp heb gezien kwam inclusief 'bestuurder' tot stilstand tegen een bord nadering voorrangsweg in plaats van ervóór en................ neen dit zuig ik niet uit mijn duim!
Oh vergeten: Ga toch lopen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
