Cette appli peut bloquer toutes les trottinettes Xiaomi dans un rayon de cent mètres

Les utilisateurs de trottinettes Xiaomi M365 vont devoir affronter un danger supplémentaire pendant leurs trajets. Désormais, ils ne seront non seulement exposés au trafic environnant, mais aussi aux hackers malveillants qui rôdent le long de leur route ! Les chercheurs en sécurité de Zimperium viennent en effet de publier sur GitHub les sources d’une application Android qui permet de verrouiller toutes ces trottinettes si elles se trouvent dans un rayon de cent mètres. Ce qui peut se révéler dangereux.

Cette application exploite une faille trouvée dans l’application mobile des Xiaomi M365. Celle-ci est capable de communiquer avec l’engin via Bluetooth et offre tout un tas de fonctionnalités comme verrouiller/déverrouiller la trottinette, récupérer des statistiques d’usage ou configurer le régulateur de vitesse. Tous ces réglages et informations ne sont accessibles, en théorie, qu’après une étape d’authentification par mot de passe.

Mais cette authentification est déficiente. « Le mot de passe n’est validé que du côté de l’application, mais la trottinette lui-même ne suit pas l’état de l’authentification », expliquent les chercheurs dans une note de blog. Résultat : il est possible d’exécuter n’importe quelle commande sur n’importe quelle trottinette, sans aucune authentification et sans que l’utilisateur ne soit averti. Il suffit d’être à proximité.

On peut même modifier le firmware

Selon Zimperium, un pirate peut non seulement verrouiller à distance ces trottinettes. Il peut également installer un firmware vérolé et prendre le contrôle total de l’engin. Il serait même possible d’accélérer ou de freiner depuis le smartphone. Les chercheurs disent avoir développé une preuve de concept permettant d’accélérer une trottinette à distance. Mais pour des raisons de sûreté, ils n’ont pas publié le code correspondant.

Contactée par Zimperium, la société chinoise a confirmé cette faille, mais n’a pas dit qu’elle allait la patcher à court terme. Car elle est logée dans un module logiciel développé par un tiers, ce qui semble compliquer la résolution du problème. En attendant, la seule solution pour protéger contre ces attaques, c’est de… mettre un casque.

A noter, enfin, que les Xiaomi M365 sont également la cible d’un autre hack, plus rustique celui-là. En effet, ce modèle est utilisé par la société Bird pour leur service de trottinette à la demande. Or, selon Numerama, il suffirait d’acheter un kit à 30 euros et d’utiliser un peu d’huile de coude pour supprimer la protection anti-vol et les utiliser à l’œil.