Im Rahmen unserer Websites setzen wir Cookies ein. Informationen zu den Cookies und wie Ihr der Verwendung von Cookies jederzeit widersprechen bzw. deren Nutzung beenden könnt, findet Ihr in unserer Datenschutzerklärung.

Xiaomis gehackter E-Scooter zeigt die Gefahren der mobilen Zukunft

Xiaomis gehackter E-Scooter zeigt die Gefahren der mobilen Zukunft

Während hierzulande E-Scooter noch auf ihre Zulassung warten, besiedeln sie in anderen Teilen der Erde bereits die Straßen zahlreicher Großstädte. Doch während sich einige über die Gefahren Gedanken machen, wenn man von einem solchen Scooter angefahren wird, lauert da noch eine andere Gefahr.

Wie die aussieht, zeigt ein vom Sicherheitsunternehmen Zimperium veröffentlichtes Video. Mit diesem wollen die Forscher vor einem kritischen Bug bei Xiaomis populären E-Scooter M365 warnen, der auch von Leihfirmen wie Lyft oder Bird eingesetzt wird. Der erlaubt es Angreifern aus der Ferne die Kontrolle über den Roller zu übernehmen und anschließend kritische Funktionen wie das Beschleunigen und Abbremsen zu beeinflussen.

Dabei machen sich die Experten den Aufbau der Software des E-Scooters zunutze. Der besteht aus drei Säulen: Akku-Management, die Firmware für die Kommunikation zwischen Soft- und Hardware sowie ein Bluetooth-Modul. Über Letzteres können Besitzer über das Smartphone mit dem Xiaomi M365 "kommunizieren".

Rani Idan, Zimperiums Direktor für Softwareforschung, fand dabei heraus, dass man sich mit dem Roller verbinden konnte, ohne nach einem Passwort oder ähnlichem gefragt zu werden. Anschließend lässt sich in wenigen Sekunden eine neue Software aufspielen, bei der nicht geprüft wird, ob sie offiziell vom Hersteller stammt. Das bedeutet, dass Angreifer ohne Probleme Malware installieren und volle Kontrolle über den Roller erhalten können.

Fehler lässt sich (aktuell) nicht beheben

Denkbar sind hier schlimme Szenarien, in denen die Nutzer des E-Scooters in den fließenden Verkehr beschleunigt oder im selbigen plötzlich abgebremst werden. Natürlich hat man bei einem solchen Roller leichter die Möglichkeit abzuspringen, um schlimmeres zu verhindern. Aber nicht unwahrscheinlich ist, dass man durch den Überraschungsmoment nicht schnell genug reagiert oder durch das plötzliche Abspringen einen Unfall verursacht.

P90276747 highRes x2city lissabon 09 2
E-Scooter erfreuen sich bereits in zahlreichen Städten großer Beliebtheit. / © BMW

Als wäre das nicht schon erschreckend genug, gibt es dann noch das Statement von Xiaomi zu dem Thema. Zimperium zufolge hat man Xiaomi über das Problem informiert und bekam als Antwort, dass man sich des Problems bewusst ist, aber aktuell nicht in der Lage sei, es selbst zu beheben. Der Grund dafür dürfte sein, dass der Hersteller die Bluetooth-Schnittstelle von einem Drittanbieter bekommt und nicht selber programmiert.

E-Scooter sind auf dem Vormarsch

Es ist nicht das erste Mal, dass sich eines der sogenannten elektrischen Leichtfahrzeugen hacken lässt. Im Jahr 2017 fanden Forscher eine kritische Sicherheitslücke im den Segway MiniPro Hoverboards. Und mit Sicherheit wird es nicht die letzte Lücke sein, die sich in den Fahrzeugen einschleicht.

Das ist gerade mit Blick auf die Zukunft beängstigend. Denn die kleinen E-Scooter sind auf dem Vormarsch und es wird nicht lange dauern, bis, wie zum Beispiel zuletzt bei Leihfahrrädern, kleine Hersteller auf den Markt drängen und mit halbgarer und schnell zusammengewürfelter Software ein potenzielles Risiko darstellen. Hier müssen dringend Richtlinien festgelegt werden, die für mehr Sicherheit sorgen!

Via: Wired

Empfohlene Artikel

Top-Kommentare der Community

  • Flo Naldo vor 8 Monaten

    In den Verkehr lenken ist jawohl Quatsch, lenken macht man wohl noch mit seinen Armen. Außerdem muss der "Hacker" immer in Bluetooth-Reichweite sein, also ca. 10 Meter. Ein gehackter Tesla über lte ist das wohl weitaus schlimmer. Man kann auch Reifen von Autos zerstechen oder Bremsen manipulieren, was genauso strafbar ist.
    Hat der Xiaomi m365 nicht sogar eine mechanische Bremse per Hebel?

    "Erst mal auf den Markt werden und verhökern": Solche Kommentare regen mich richtig auf, denn der Roller ist seit ca. 3 Jahren auf dem Markt und jetzt kann jmd ggf. kurzfristig den Roller "hacken" und macht sich strafbar. Kannste gleich ein paar Ziegelsteine auf eine Bahnstrecke werfen.
    Diese ganze Hetze gegen die Roller verstehe ich nicht. Zum Beispiel so etwas wie "sogar schon 2 Todesfälle in den letzten 1,5 Jahren durch eRoller." Ja Leute, natürlich kann etwas passieren, aber schaut euch doch mal an wie viele Leute mit dem Fahrrad, Auto oder eBike tödlich verunglücken?! In Deutschland sterben knapp 100 Radfahrer pro Jahr, aber eScooter sollen wegen 2 Todesfällen in dem USA als gefährlich gelten? Gebt etwas neuem mal eine Chance.

26 Kommentare

Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!
Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!

  • Uduc vor 8 Monaten Link zum Kommentar

    Ein weiterer Pissgedanke zur Nutzung solcher Fahrzeuge. 1. Habe ich neulich in einer Pizzeria gesehen, wie jemandem der Wein 'weg'getrunken wurde, als er kurz auf Toilette war. 2. ..habe habe ich neulich beobachtet, wie jemand die Kontoauszüge seines Nachbarn aus dem Briefkasten fingerte ... Etwas um die 600 km bin ich in Frankreich schon mit dem M365 gefahren. Das Einzige warauf man achten muss, ist dass genug Luftdruck in den Reifen ist. - Für mich sind die Roller die Lösung gegen die allmorgentliche Ansteckungstour in öffentlichen Verkehrsmitteln. - Dass man da selbst mit Trojanern und Viren infiziert wird, da regt sich kein Betriebswirt auf .. usw. .. es gibt aber genug Argumente gegen Spiessbürgertum!


  • In den Verkehr lenken ist jawohl Quatsch, lenken macht man wohl noch mit seinen Armen. Außerdem muss der "Hacker" immer in Bluetooth-Reichweite sein, also ca. 10 Meter. Ein gehackter Tesla über lte ist das wohl weitaus schlimmer. Man kann auch Reifen von Autos zerstechen oder Bremsen manipulieren, was genauso strafbar ist.
    Hat der Xiaomi m365 nicht sogar eine mechanische Bremse per Hebel?

    "Erst mal auf den Markt werden und verhökern": Solche Kommentare regen mich richtig auf, denn der Roller ist seit ca. 3 Jahren auf dem Markt und jetzt kann jmd ggf. kurzfristig den Roller "hacken" und macht sich strafbar. Kannste gleich ein paar Ziegelsteine auf eine Bahnstrecke werfen.
    Diese ganze Hetze gegen die Roller verstehe ich nicht. Zum Beispiel so etwas wie "sogar schon 2 Todesfälle in den letzten 1,5 Jahren durch eRoller." Ja Leute, natürlich kann etwas passieren, aber schaut euch doch mal an wie viele Leute mit dem Fahrrad, Auto oder eBike tödlich verunglücken?! In Deutschland sterben knapp 100 Radfahrer pro Jahr, aber eScooter sollen wegen 2 Todesfällen in dem USA als gefährlich gelten? Gebt etwas neuem mal eine Chance.


    • Daher ist das Wort "lenken" auch in Anführungszeichen geschrieben. Hier geht es zum Beispiel um das Szenario, dass der Roller mitten im fließenden Verkehr abgebremst wird und der Fahrer vor Schreck den Lenker verzieht oder der Roller plötzlich Vollgas gibt und der Fahrer erst einmal verwundert ist und dabei den Überblick über den Straßenverkehr verliert. Ich habe die Passage aber für ein besseres Verständnis mal abgeändert.

      Gegen die kleinen E-Scooter hetzen, will ich auf keinen Fall. Wie schon in früheren Artikeln beschrieben, mag ich sie genauso wie elektrische Skateboards. Es geht vielmehr um eine vernünftige Regulierung, damit nicht irgendwann ungeprüfte Modelle von unzähligen Anbietern in der Stadt herumstehen, die vllt nicht ausreichend sicher sind.


      • Was ein Schwachsinn "dass der Roller mitten im fließenden Verkehr abgebremst wird", ist ja kein Problem innerhalb von Sekunden sich mit dem Roller zu verbinden und die Software aufzuspielen. In der Zeit ist die Person schon wieder mit dem Roller weg.


      • der Roller läßt sich nur in reichweite hacken 8-10 Meter und die Wegfahrsperre läßt sich nur einschalten, wenn er steht, übrigens gibt es jedesmal einen quittungston und mit der SW version 1.3.8 geht das alles, nicht mehr. ich habe zwei roller in spanien stehen, ansonsten tempo 25, hat man 1,4 secunden zeit, zum connecten und ausführen.... was das jetzt wieder für scriptkidis, auf github anlockt man, man


  • In den Verkehr lenken? Rly? Welcher servo genau soll das machen?


  • Ähnliche Experimente wurden auch schon erfolgreich mit PKW gemacht. Sobald ein System eine Schnittstelle nach außen hat gibt es immer die theoretische Gefahr der Manipulation. Ich behaupte, dass ein fremd kontrollierter Tesla zum Beispiel doch wesentlich gefährlicher ist als ein Roller.


  • Wenn die Roller so eine Gefahr darstellen sollen wie angenommen dann sollte man zumindest eine Pflicht der Versicherung einführen die im Schadensfall eingreift. Pflicht der Anmeldung bei Kauf aber keine Pflicht extra dafür einen Führerschein haben zu müssen.

    trixi


    •   25
      Gelöschter Account vor 8 Monaten Link zum Kommentar

      Die Versicherungspflicht ist doch für Deutschland geplant damit sei Teile überhaupt genutzt werden können.


  • Es mag sein, dass der Roller nicht wirklich gegen Angriffe geschützt ist aber so wie es hier im Artikel beschrieben ist, ist es völliger Quatsch!
    1. Man müsste für etliche Minuten max 3 Meter abstand zum Roller halten um die Bluetooth Verbindung aufrecht zu halten.
    2. Während upload und flashen des Rollers bleibt dieser stehen, er geht einfach aus.
    3. Der Xiaomi kann Problemlos mit einem Passwort versehen werden, dann kann man auch keine Bluetoothverbindung aufbauen, wer das nicht macht hat selber Schuld!

    Wenn ich jemanden etwas Böses will, dann steck ich ihm ein Stöckchen in die Speichen aber mach keinen angeblichen Hackerangriff der nicht mal funktioniert.

    Für mich ist das mal wieder so ein richtiger Mumpitzartikel


    • Nicht völliger Quatsch:
      Zu 1. Wenn es Leihroller sind, stehen sie irgendwo am Straßenrand und können dadurch problemlos angegriffen werden. Oder privat stehen sie in der Garage, wo man auch mal kurz davor verharren kann.

      Zu 2. Das erledigt sich, da die Roller ja beim rumstehen gehackt werden.

      Und zu 3. Das ist ein sehr herablassender Kommentar. Es in unserer Gesellschaft leider so, dass einen alles als einfach und leicht verkauft wird. Wie bei den Internetroutern. Du gehst in den Laden, willst Telefon und Internet, der Verkäufer sagt dir, alles ganz easy, einfach anstecken, einschalten und geht. Von Wlan-Passwort ändern sagt er nichts, das wäre ja nicht mehr easy. Und genau so ist es bei den Rollern. Wo werden die Dinger verkauft? Spielzeugladen? Fahrradladen? Da weiß der Verkäufer wahrscheinlich nicht mal, das man ein Passwort setzten kann. Und wenn, würde wieder der Komfort leiden, weil dann ist nicht mehr einfach einschalten, verbinden und losfahren, also nicht mehr easy. Es ist nicht jeder ein Technik-Nerd wie du, der das alles weiß.
      Für mich ist in solchen Fällen erst mal die Regierung gefragt, die vorschreibt, dass man so was in Deutschland nur verkaufen darf, wenns gesichert ist und das setzten eines Passworts verlangt wird. Erst dann kannst du es auf die "Dummheit" des Benutzers schieben, wenn er nur 4 Nullen als Passwort setzt.

      Und zu deinem Kommentar "Wenn ich jemanden etwas Böses will":
      Du sperrst deine Wohnung/Haus auch nicht zu, weil wenn wer einbrechen will, kommt er sowieso rein, deswegen lässt du gleich die Haustür offen, dann macht er die wenigstens nicht kaputt.


      • Die Roller müßen aber dafür ständig angeschaltet sein, die haben aber ein autoshutdown (ich habe 2 davon in spain) das ist hier einfach, alles nur propaganda, damit die mindestens 5 mal und aufwärts teureren roller gekauft werden, dafür bekommt man ein gebrauchtes auto (wir haben 3) und roller mit sitz wie unsportlich, dann kann man ja direkt für später planen und sich so ein opa krankenfahrstuhl mit nummernschild kaufen...


  • Wie immer.
    Erst mal auf den Markt werfen und verhökern.
    Werden sich schon genug Konsumopfer finden.


  •   25
    Gelöschter Account vor 8 Monaten Link zum Kommentar

    Hier in Deutschland ja eh noch nicht relevant, da man die Teile nur auf privaten Grundstücken nutzen darf.


    • Ahoi vor 8 Monaten Link zum Kommentar

      Du darfst WhatsApp in Deutschland auch nur nutzen, wenn du von allen Kontakten eine Einwilligung zur Weitergabe ihrer Daten eingeholt hast. Keiner machts. Ist WhatsApp deshalb in Deutschland nicht relevant?


      •   25
        Gelöschter Account vor 8 Monaten Link zum Kommentar

        Sorry aber ein ziemlich dämlicher Vergleich ohne jeglichen Zusammenhang zum Thema.
        Wer sich dafür auch noch bedankt hat wohl das Hirn in der Nachttisch Schublade vergessen.

Zeige alle Kommentare
Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!