El problema de incluir productos tecnológicos muy novedosos en nuestro día a día es que podemos encontrarnos con fallos de seguridad continuos en muchos de estos. Es algo normal y los fabricantes deben luchar para que este número de fallas sea lo menor posible. De hecho, muchos de estos fallos no los notamos siquiera en el día a día, pero cuando se trata de un producto popular, el riesgo aumenta.

Este es el caso del famoso patinete Xiaomi M365, quizás el patinete eléctrico más popular que hay en el mercado. Hay muchas otras variantes y modelos, por supuesto, pero este se ha vendido especialmente bien. Es por eso que, si bien no es ningún drama, es llamativo que se pueda hackear de la forma que os mostraremos a continuación.

Actualización: Xiaomi lanza una actualización

Xiaomi ha publicado una actualización OTA de Firmware para el Mi Electric Scooter que soluciona la vulnerabilidad que se estaba aprovechando en este tipo de ataques. La nueva versión es la 1.5.1, y por lo tanto deberías asegurarte de tenerla instalada antes de seguir usando tu patinete. Para ello, sólo tienes que usar la última versión de la app Mi Xiaomi o Xiaomi Home para actualizar el patinete

El patinete Xiaomi M365 puede hackearse para acelerar o frenar de golpe

Según informan The Verge y los chicos de Zimperium, este patinete se puede hackear perfectamente para controlar la potencia del dispositivo de tal forma que pueda avanzar de golpe o que pueda pegar un frenazo inesperado. En el vídeo encima de estas líneas podemos ver cómo un atacante, explotando la falla de seguridad, puede controlar el patinete del ejemplo.

Esto es posible gracias a un fallo en el módulo Bluetooth del patinete. A través del hack,  la firma de investigación Zimperium pudo atacar a cualquier transeúnte que montara cualquier Xiaomi M365 bien bloqueando el patinete, acelerándolo o frenándolo sin tener acceso físico a este. Los investigadores podrían emitir comandos para manipular cualquier scooter a una distancia de hasta 100 metros.

De hecho, en Verge van más allá, asegurando que se podría usar un ataque de denegación de servicio (DoS) para bloquear remotamente cualquier scooter de este modelo que, a su vez, usando malware podría usarse para instalar un nuevo firmware que podría tomar el control total del scooter.

patinete-xiaomi-m365-6

No es lo único. En Xataka han hecho mención a una falla de seguridad que consiste en que, cualquier usuario con Bluetooth podría acceder al patinete si este no está bloqueado con una contraseña. El funcionamiento es sencillo; mediante la aplicación y con Bluetooth podemos acceder a estos patinetes sin contraseña y controlarlos a placer en el rango de los 20 metros del Bluetooth. Xiaomi ya está investigando el asunto.

Zimperium dice que informó sobre la vulnerabilidad a Xiaomi, que aún no ha lanzado una actualización de software para solventar la falla. Pero un portavoz de Xiaomi, según The Verge, dijo que Zimperium no se comunicó con la herramienta de informes de seguridad de Xiaomi. Otro portavoz, esta vez de Zimperium, proporcionó una copia del informe oficial archivado a través del portal de seguridad de Xiaomi, en el que la compañía llama al error “un problema conocido internamente”.

Es más que posible que no te afecte pero hay que estar atentos

Siendo totalmente objetivos, es casi imposible que tú, como dueño, sufras estos percances. Como bien apuntan en Xataka, el fallo del Bluetooth se puede solventar poniendo una contraseña desde la aplicación y además el rango de uso del Bluetooth es de unos 20 metros, por lo que simplemente guardándolo en tu casa no tendrás problema.

Además, para hackear el patinete usando los métodos que mencionan Zimperium hay que tener, además del equipo adecuado, los conocimientos necesarios para hacer uso de la falla de seguridad. Es cierto que estos patinetes están siendo usados en flotas de transporte urbano, pero la probabilidad de que un hacker con conocimientos hackee tu patinete es entre ínfima e inexistente.

xiaomi patinete electrico

Pero inevitablemente debemos estar atentos. Ya no hablamos de un dispositivo electrónico que podamos restablecer y punto; recordemos que estas fallas permiten que los atacantes hagan acelerar o frenar de golpe a los patinetes, por lo que ya estamos envueltos en un asunto de seguridad personal. Una persona con los conocimientos y la falta de humanidad suficientes puede causar mucho daño a otra.

Por lo tanto, te encomendamos a que le pongas contraseña a tu patinete desde la aplicación y que además mantengas siempre cerca tu patinete de ti, además de dejarlo totalmente bloqueado cuando no lo uses.