ឧបករណ៍ឆ្លាតពិតជាធ្វើឱ្យជីវិតរបស់យើងកាន់តែងាយស្រួល លឿន និងមានប្រសិទ្ធភាព ប៉ុន្តែជា អកុសលឧបករណ៍ឆ្លាតដែលមិនមានសុវត្ថិភាពអាចបំផ្លាញពេលវេលារបស់អ្នកឬជួនកាលអាចក្លាយទៅជាសុបិន្តអាក្រក់បំផុតនៃជីវិតរបស់អ្នក។ ប្រសិនបើអ្នកជាអ្នកជិះកង់ electronic អ្នកគួរបារម្ភអំពី ខ្លួនអ្នក។
នៅក្នុងរបាយការណ៍មួយចែករំលែកជាមួយ Hacker News ក្រុមអ្នកស្រាវជ្រាវមកពីក្រុមហ៊ុន សន្តិសុខទូរស័ព្ទចល័តលោក Zimperium និយាយថារកឃើញភាពងាយរងគ្រោះដ៏ងាយស្រួលក្នុង ការប្រណាំងម៉ូតូអេឡិចត្រូនិច M365 Folding Electric Scooter ដោយក្រុមហ៊ុន Xiaomi ដែលអាចធ្វើ ឱ្យជីវិតអ្នកជិះមានគ្រោះថ្នាក់។
Xiaomi e-Scooter មានចំណែកទីផ្សារដ៏សំខាន់ និងប្រើប្រាស់ដោយម៉ាកផ្សេងៗដោយមានការកែប្រែ ខ្លះ។ Xiaomi M365 Electric Scooter ភ្ជាប់មកជាមួយកម្មវិធីទូរស័ព្ទដែលប្រើប្រាស់ការប្រាស្រ័យ ទាក់ទងដោយ Bluetooth ដែលការពារដោយពាក្យសម្ងាត់ ដែលអនុញ្ញាតឱ្យអ្នកជិះមានសុវត្ថិភាព ក្នុងការទាក់ទងជាមួយម៉ូតូរបស់ពួកគេពីចម្ងាយសម្រាប់លក្ខណៈពិសេសជាច្រើនដូចជាការផ្លាស់ប្តូរ ពាក្យសម្ងាត់ បើកប្រព័ន្ធប្រឆាំងចោរកម្ម ការគ្រប់គ្រងកម្សាន្ត eco mode ការធ្វើបច្ចុប្បន្នភាពកម្មវិធី និងមើលស្ថិតិជិះរទេះរុញផ្សេងៗ។
ទោះបីជាយ៉ាងណាក៏ដោយក្រុមអ្នកស្រាវជ្រាវរកឃើញថាដោយសារតែការកំណត់សុពលភាពនៃ ពាក្យសម្ងាត់នៅចុងបញ្ចប់នៃម៉ូតូអ្នកវាយប្រហារពីចម្ងាយ 100 ម៉ែត្រ អាចផ្ញើពាក្យបញ្ជា ដែលមិន ផ្ទៀងផ្ទាត់លើ Bluetooth ទៅនឹងរថយន្តគោលដៅដោយមិនតម្រូវឱ្យមានពាក្យសំងាត់ដែលកំណត់ ដោយអ្នកប្រើ។ លោក Rani Idan អ្នកស្រាវជ្រាវមកពីក្រុមហ៊ុន Zimperium zLabs ពន្យល់នៅក្នុង របាយការណ៍មួយដែលចែករំលែកជាមួយលោកថា “ក្នុងអំឡុងពេលនៃការស្រាវជ្រាវរបស់យើង យើង កំណត់ថាពាក្យសម្ងាត់មិនត្រូវប្រើត្រឹមត្រូវជាផ្នែកនៃដំណើរការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវជាមួយកង់នោះទេ ហើយពាក្យបញ្ជាទាំងអស់អាចប្រតិបត្តិដោយគ្មានពាក្យសម្ងាត់” ព័ត៌មានពីHackerNews។ “ពាក្យសម្ងាត់ត្រូវបញ្ជាក់ជាមួយតែ application side ប៉ុន្ដែ Scooter ខ្លួនឯងមិនតាមដាន ស្ថានភាពនៃការផ្ទៀងផ្ទាត់ទេ។ ”
ដោយការកេងប្រវ័ញ្ចលើបញ្ហានេះអ្នកវាយប្រហារអាចធ្វើសេណារីយ៉ូវាយប្រហារដូចខាងក្រោម:
- Locking Scooters ប្រភេទនៃការវាយប្រហារ បដិសេធនៃសេវាមួយដែលក្នុងនោះអ្នកវាយ ប្រហារអាចចាក់សោរម៉ូតូ scooter M365 ភ្លាមៗនៅកណ្តាលចរាចរ។
- ការដាក់ពង្រាយ Malware ដោយសារតែកម្មវិធីអនុញ្ញាតឱ្យអ្នកជិះម៉ូតូ upgrade កម្មវិធី scooter’s firmware ពីចម្ងាយ អ្នកវាយប្រហារក៏អាចរុញកម្មវិធីបង្កប់ដែលមានគ្រោះថ្នាក់ដើម្បី គ្រប់គ្រងលើម៉ូតូ scooter។
- ការវាយប្រហារគោលដៅ [ហ្វ្រាំង / ពន្លឿន] អ្នកវាយប្រហារ អាចមានគោលដៅ លើអ្នកជិះ ម្នាក់ៗ ហើយធ្វើឱ្យម៉ូតូនេះអាចឈប់ដំណើរការ ឬបង្កើនល្បឿនភ្លាមៗ។
ដើម្បីបង្ហាញពីការវាយប្រហារមួយដូចដែលបង្ហាញនៅក្នុងវីដេអូអ្នកស្រាវជ្រាវបង្កើតកម្មវិធី ភស្តុតាងនៃគំនិត proof of concept (PoC) ពិសេសដែលស្កេនសម្រាប់ម៉ូតូ Xiaomi M365 scooters នៅក្បែរនោះ ហើយចាក់សោពួកគេដោយប្រើលក្ខណៈពិសេសប្រឆាំងនឹងចោរកម្មនៃម៉ូតូ scooter ដោយគ្មានការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ ឬការយល់ដឹងរបស់ជនរងគ្រោះ។
អ្នកស្រាវជ្រាវនិយាយថា “កម្មវិធីផ្ញើនូវបន្ទុកដែលបង្កើតឡើងដោយប្រើលំដាប់ byte ដែលត្រឹមត្រូវ ដើម្បីចេញបញ្ជាដែលនឹងចាក់សោរម៉ូតូដែលនៅជិតៗគ្នានៅចម្ងាយឆ្ងាយរហូតដល់ 100 ម៉ែត្រ” ។ ក្រុមអ្នកស្រាវជ្រាវក៏បង្កើតកម្មវិធី PoC សម្រាប់ដំឡើងកម្មវិធីបង្កគ្រោះថ្នាក់ដែលមានសមត្ថភាព បង្កើនល្បឿនម៉ូតូ ប៉ុន្តែដោយសារតែការព្រួយបារម្ភសុវត្ថិភាពរបស់អ្នកជិះម៉ូតូ M365 អេឡិចត្រូនិក ពួកគេនឹងមិនចេញ PoC ទេ។ Zimperium រាយការណ៍ពីការរកឃើញរបស់ពួកគេទៅ Xiaomi រួចទៅហើយកាលពីពីរសប្តាហ៍មុន។ ក្រុមហ៊ុនចិនទទួលស្គាល់ពួកគេដោយនិយាយថាក្រុមរបស់ ខ្លួនដឹងអំពីបញ្ហានេះ ហើយកំពុងធ្វើការដោះស្រាយបញ្ហានេះ។ ដោយសារតែគ្មានការកាត់បន្ថយដែលអ្នកប្រើអាចដាក់ពង្រាយនៅចុងបញ្ចប់នោះអ្នកជិះកង់ម៉ូតូ M365 ត្រូវគេអនុញ្ញាតិឱ្យធ្វើការដោះស្រាយបញ្ហានៅពេលដែលពួកគេអាចរកឃើញ។ រហូតមកដល់ពេលនេះពួកគេមិនអាចធ្វើអ្វីទេលើកលែងតែផ្អាកការជិះម៉ូតូមួយរយៈ៕
ប្រភព៖https://thehackernews.com/2019/02/xiaomi-electric-scooter-hack.html
