O clichê vale neste caso: com grandes poderes vem grandes responsabilidades. Essa missão sem fim dos fabricantes em conectar qualquer tipo de apetrecho à web tem que obrigatoriamente vir com uma dose cavalar de cuidados em relação à segurança, mas com frequência vemos casos cada vez mais bizarros de insegurança em milhares de devices. O caso da vez envolve a popular Xiaomi, devido a uma vulnerabilidade do seu patinete elétrico, modelo Xiaomi M365, hackers poderiam acessa-lo remotamente e se apossar, por exemplo, do controle de velocidade do patinete e freio do patinete.
O problema foi relatado pelos pesquisadores de segurança norte-americana Zimperium. A falha está relacionada com o módulo Bluetooth da Xiami M365, que dá passagem, sem nenhuma autenticação ou senha, aos smartphones que serão conectados ao patinete. O pesquisador por trás da descoberta é Rani Idan, diretor de pesquisa da Zimperium. Ele diz que após se conectar ao patinete, instalou um firmware sem que o sistema da M365 fizesse alguma verificação para atestar se o update era oficial, abrindo margem para a instalação de malwares. O pesquisador diz que as M365 a um alcance de 100 metros do ciberterrorista poderiam ser hackeadas.
“Um invasor pode frear de repente, ou acelerar uma pessoa no trânsito, ou qualquer que seja o pior cenário que você possa imaginar”, explicou Idan a revista Wired. Pra deixar a questão ainda mais dramática. Após a Zimperium entrar em contato com a Xiaomi, no dia 28 de janeiro de 2019, a gigante chinesa alegou que não teria condições de resolver o problema, já que o módulo Bluetooth utilizado pela M365 é produzido por uma empresa terceirizada, que também foi notificada.
Confira abaixo o vídeo com a demonstração da falha de segurança do patinete Xiami M365.