Een beveiligingslek in de M365 e-scooter van fabrikant Xiaomi, die ook in Nederland wordt aangeboden, maakt het mogelijk voor een aanvaller om de elektrische stap op afstand over te nemen. De scooter, die snelheden tot 25 kilometer per uur haalt, is via bluetooth te bedienen.

Zo is het mogelijk om cruisecontrol en een anti-diefstalsysteem in te schakelen, of de firmware van de step te updaten. De features zijn toegankelijk via een speciale app voor de e-scooter. Elke step is daarnaast beschermd door een wachtwoord dat de gebruiker zelf kan instellen. Onderzoekers van securitybedrijf Zimperium ontdekten dat het wachtwoord niet juist wordt gebruikt als onderdeel van het authenticatieproces.

Alle commando's zijn daardoor zonder het wachtwoord uit te voeren. Het wachtwoord wordt alleen aan de applicatiekant gecontroleerd, maar de scooter houdt zelf niet de authenticatiestatus bij. Zo zijn alle features zonder geldig wachtwoord toegankelijk. Een aanvaller kan zo de step op een afstand van wel 100 meter vergrendelen. Ook is het mogelijk om de step, terwijl die in gebruik is, harder te laten rijden of opeens te laten remmen. Tevens bleek dat het mogelijk is om kwaadaardige firmware te installeren.

De onderzoekers waarschuwden Xiaomi, maar het bedrijf bleek al bekend met het probleem te zijn. Aangezien het om een "third-party cooperation product" gaat is er nog geen update beschikbaar en het is onbekend of en wanneer die zal verschijnen.