Hackeren fra Zimperium viser i en video hvordan han i praksis kan ta kontroll over en Xiaomi-sparkesykkel. Svakheten er fortsatt ikke rettet opp.
Hackeren fra Zimperium viser i en video hvordan han i praksis kan ta kontroll over en Xiaomi-sparkesykkel. Svakheten er fortsatt ikke rettet opp. (Foto: Zimperium)

Her tar hackerne full kontroll over den elektriske sparkesykkelen

Elektriske sparkesykler er fenomenale små fremkomstmidler, og vi i Tek.no har vært store tilhengere siden de for fullt gjorde inntog i Norge ved lovendringen i fjor

Men nå viser sikkerhetsfirmaet Zimperium hvordan en av de mest populære modellene på markedet, Xiaomi Mijia M365, kan hackes på en måte som gjør at du fullstendig kan miste kontrollen over sparkesykkelen. 

Dårlig autentisering 

M365 bruker nemlig bluetooth til å kommunisere med en app på telefonen, og denne bruker et passord for å forhindre at uvedkommende får tilgang. 

Zimperium fant imidlertid ut at dette passordet ikke er implementert på riktig måte, ved at passordet kun valideres i appen, men ikke i sparkesykkelens programvare. Det gjør at en hacker i praksis kan iverksette enhver kommando uten å ha tilgang til passordet. 

I en video viser selskapet hvordan de kan iverksette sykkelens låsefunksjon, som i utgangspunktet er der for å forhindre tyveri, bare ved å scanne omgivelsene for M365-sparkesykler. 

TEST: ByDue Model 2.0: En elsparkesykkel med ekstrem rekkevidde

Kan installere ny fastvare og ta full kontroll 

Hackerne kan på denne måten låse sparkesykler opptil 100 meter unna. De påpeker også at metoden kan benyttes for å installere ny fastvare på sparkesyklene, og på den måten ta full kontroll over dem, eventuelt til å få en konkret sparkesykkel til å bremse eller akselerere brått. 

I en e-post til The Verge skriver Zimperiums Rani Idan at Xiaomi også leverer sparkesykler for andre merker, og at svakheten derfor kan være gjeldende også for dem. M365 er for øvrig produsert av Segway-Ninebot, og deres app kan også brukes til å kontrollere denne sparkesykkelen. 

Zimperium opplyser at de har gjort Xiaomi oppmerksom på svakheten, og har også lagt ut svaret fra selskapet. De skriver der at svakheten er kjent internt, men at dette er et produkt hvor de samarbeider med tredjeparter.

Selskapet har så langt ikke gjort noe for å fikse problemet, og til The Verge sier de at Zimperium ikke har rapportert problemet gjennom deres offisielle løsning for å rapportere problemer. 

Xiaomi Mijia M365. Foto: Vegar Jansen, Tek.no

Rødt kort 

Da vi testet Xiaomi Mijia M365 konkluderte vi med at det var en kraftig og veldig behagelig sparkesykkel å kjøre på, men med tanke på at makshastigheten på 25 kilometer i timen er over de 20 som er tillatt i Norge, så vi ingen annen løsning enn å gi den «rødt kort». 

M365 selges likevel i mange norske butikker, hvorpå det er presisert at den kun kan brukes «på privat vei». 

Norges beste mobilabonnement

Sommer 2019

Kåret av Tek-redaksjonen

Jeg bruker lite data:

Sponz 1 GB


Jeg bruker middels mye data:

GE Mobil Leve 6 GB


Jeg bruker mye data:

Chili 25 GB


Jeg er superbruker:

Chili Fri Data


Finn billigste abonnement i vår mobilkalkulator

Forsiden akkurat nå

Til toppen