Beveiligingsonderzoeker Thomas Kilbride heeft in een populair hoverboard van Segway verschillende ernstige kwetsbaarheden ontdekt waardoor de apparaten op afstand zijn over te nemen en de privacy van bestuurders in het geding is (pdf). Het gaat om de Segway/Ninebot MiniPRO Hoverboard.
Via de kwetsbaarheden is het mogelijk om de veiligheidssystemen te omzeilen en op afstand het apparaat over te nemen. Vervolgens kan een aanvaller de snelheid of richting aanpassen of de motor uitschakelen. Het hoverboard wordt geleverd met een app waarmee de gebruiker de lichtkleuren kan aanpassen, het hoverboard op afstand kan bedienen, de batterijduur en het resterend bereik kan zien.
De bestuurder kan wel een pincode instellen om de app via bluetooth verbinding te laten maken, maar Kilbride ontdekte dat het hoverboard de standaard pincode van 000000 niet wijzigt. Na verbinding te hebben gemaakt kan een aanvaller kwaadaardige firmware-updates installeren. De integriteit van de firmware-update wordt namelijk niet gecontroleerd. Daarnaast bleek dat hoverboard-bestuurders in het gebied via de gps van hun smartphone werden geïndexeerd.
De locatie van elke bestuurder wordt daarnaast gepubliceerd en is publiek beschikbaar. "Zodoende kunnen de hoverboards worden gevonden, gevolgd, gekaapt en bestuurd zonder dat de bestuurder dit doorheeft", laat Kilbride weten. Segway werd op 24 december vorig jaar ingelicht en kwam in april met een nieuwe versie van de app waarin de ernstigste problemen zijn verholpen. Gebruikers van het hoverboard krijgen dan ook het advies om de meest recente versie van de app te installeren. In onderstaande video worden de kwetsbaarheden gedemonstreerd.
Deze posting is gelocked. Reageren is niet meer mogelijk.