2019独角兽企业重金招聘Python工程师标准>>>

美国行动安全业者Zimperium揭露,小米科技旗下的米家电动滑板车含有远程攻击漏洞,将允许黑客自远程锁住滑板车,或是无预警地将滑板车剎车或加速。这款含有漏洞的滑板车型号为Xiaomi M365,它是台可折迭的电动滑板车,最高时速为每小时25公里,售价1,999元人民币(约9,210元新台币),在2017年曾获得全球多项知名设计奖的肯定。

Zimperium平台研究总监Rani Idan说明,米家电动滑板车允许用户透过程序与蓝牙来操控它的功能,诸如防盗系统、巡航定速、环保模式,或是用来更新韧体等,且每台滑板车都受到密码的保护。然而,Idan却发现,滑板车的认证程序并未正确地导入密码机制,让密码只于应用程序端验证,滑板车本身却未跟上其验证状态。根据Idan向Wired的说明,当他们以蓝牙存取电动滑板车时,并未被要求输入密码或执行其它认证,这使得他们得以执行所有功能,包括植入恶意韧体。Zimperium已打造一概念性验证程序,能够以手机远程启动防盗系统,锁住附近的米家电动滑板车,甚至可锁住远在100米外的滑板车,并已释出供研究人员评估,此外,Zimperium也已成功开发出可用来加速滑板车的恶意韧体,但为安全考虑而不准备公开。小米在今年1月底收到Zimperium通知时,透露内部已得知此一问题,但这是个与第三方业者合作的产品,小米正尝试与对方讨论解决方案。Idan则说,此一安全漏洞仍然需要小米或其合作对象负责修补,用户端并无轻易修复之道。内文来源:http://www.cafes.org.tw/info.asp

转载于:https://my.oschina.net/u/4024424/blog/3010579

小米M365滑板车出现严重性漏洞恐遭远程攻击相关推荐

  1. 小米M365电动滑板车的设计缺陷可被利用实现“远程”控制

    小米M365电动滑板车的设计缺陷允许研究人员在距其100米的范围内***它,迫使滑板车刹车或加速. Zimperium的研究人员周二发布了关于该***的概念验证(PoC).在***过程中,他们发动了拒 ...

  2. 小米 M365有致命漏洞!骇客能轻易远端控制

    虽然香港政府尚未容许电动滑板车在香港的街道上行驶,不过在不少大城市,都已经成伙人们常用的代步工具.如今,有信息安全公司发现,小米 M365 电动滑板车的蓝牙模块上存在一个漏洞,客许用家远程控制滑板车的 ...

  3. Fortinet 防火墙受高危漏洞影响,可遭远程攻击

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 最近,Fortinet 修复了 FortiWeb web 应用程序防火墙 (WAF) 中的一个高危漏洞,它可被用于执行任意命令.如被与错误 ...

  4. OPPO R11网络口碑扑街,OPPO 新品恐遭滑铁卢!

    OPPO R11新品发布会已经成为过去.但人们口中谈论的话题中心并不是OPPO 的新机,而是林忆莲确实老了,迪玛希秋意浓挺好,就是氛围不大合适,黄贯中和叶世荣唱得还可以,但还是生活在 BEYOND 的 ...

  5. 浏览器安全检查己通过_小米薄荷浏览器URl欺骗漏洞(CVE-2019-10875)的安全修复被绕过...

    前几日,网络上曝出小米薄荷浏览器存在URL欺骗漏洞,攻击者可把恶意链接伪装成权威网站的URL,对受害者进行钓鱼攻击.小米公司在收到报告后迅速发布了安全补丁,修复了这一漏洞.但近期,又有人曝出该安全补丁 ...

  6. HTML5再曝漏洞 安全性遭质疑

    2013年03月14日 10:51:01  来源: 人民邮电报 作为新一代Web语言,HTML5凭借丰富应用.跨平台等特点被公认为未来网页技术的发展方向,并且被全球多家主流厂商寄予厚望.然而,在已经过 ...

  7. Spring4Shell 漏洞已遭Mirai 僵尸网络利用

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Mirai 恶意软件正在利用 Spring4Shell exploit 感染易受攻击的 web 服务器并将其纳入DDoS(分布式拒绝服务)攻击. ...

  8. 新漏洞可导致西门子 PLCs 遭远程攻击

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 工业网络安全公司 Claroty 的研究员发现一个严重漏洞,可遭远程未认证攻击者入侵西门子制造的某些可编程逻辑控制器 (PLCs). 该漏 ...

  9. 记一次小米路由器任意文件读取漏洞

    文章目录 前言 一.漏洞发现 二.漏洞挖掘 1.简单的爆破 2.文件读取 三.漏洞利用 总结 前言 任意文件读取漏洞,是web安全里高危的漏洞,它可以泄露源码.数据库配置文件等等,导致网站处于极度不安 ...

最新文章

  1. python语言是编译型语言-Python程序的执行过程原理(解释型语言和编译型语言)...
  2. 点击php文件显示下载文件,求助 为什么编的下载文件代码,打开后下的全是php文件...
  3. 164. 可达性统计【拓扑排序 / bitset】
  4. 第3讲--3.1旋转矩阵
  5. memcached和redis的区别
  6. 微信小程序使用template模板
  7. wxml代码支持js代码吗_如何取胜:代码支持者的建议
  8. 我的播客开通的第一天
  9. 网格(UED所谓栅格化)方案生成器
  10. 虚拟机上搭git服务器,搭建gitlab服务器
  11. for循环里面嵌套if_信不信两层python嵌套for循环就能把你搞懵了
  12. 浅议PIM(一文看懂PIM)
  13. Centos下 为Firefox安装Flash插件
  14. mysql 复杂类型_MySQL 复杂数据类型之JSON数据
  15. NRF52840 BLE OTA
  16. react18的SSR
  17. 解析云产品SLA的价值
  18. Linux加密框架 crypto 哈希算法说明 同步哈希shash_alg | 异步哈希 ahash_alg | 通用部分抽象 hash_alg_common
  19. 元气骑士如何获得机器人成就皮肤_《元气骑士》听过浮游炮大礼包吗?有利于快速获取机器人的皮肤!...
  20. MMORPG网络游戏开发之用户管理

热门文章

  1. 【智能家居 DIY 活动】基于 RT-Thread 的分布式无线温度监控系统 DIY 活动正式上线啦!!!
  2. week8 B-猫猫向前冲
  3. Kaldi中DNN的实现
  4. 乔布斯:不要为明天忧虑!
  5. 测试一年多,上线就崩溃!技术供应商纳斯达克酿出严重软件事故
  6. 超常用数据分析模型讲解——漏斗分析模型
  7. 广州python培训机构推荐
  8. SF37丨新一代ATR在超级趋势线中的作用
  9. matlab绘制星形线并求面积,利用曲线积分,求星形线x=acos3t,y=asin3t所围图形面积...
  10. Android 图标适配