Prednedávnom médiami rezonovali správy o problémoch elektrických kolobežiek Xiaomi M365, ktoré sú aj na Slovensku jednými z najobľúbenejších mestských dopravných prostriedkov svojho druhu. Slovenská obchodná inšpekcia totiž vyrukovala so správou, v ktorej upozornila na nebezpečenstvo zneužitia Anti-Theft funkcie týchto kolobežiek v konkrétnej verzii firmvéru, na čo reagovali aj mnohí predajcovia.

Bolo však stiahnutie Xiaomi kolobežiek z ponuky niektorých obchodov skutočne nutné? Na objasnenie situácie sme do rozhovoru zavolali Jána Malinu, ktorý pozná Xiaomi kolobežky do detailov a objasnil mnohé otázky, ktoré by ťa mohli zaujímať.

S Jánom si sa mohol na našom portáli stretnúť už pri rozhovore o jeho biznise. Vodičom elektrických kolobežiek totiž poskytuje kvalitný servis známy ako GoBerry. Jeho rukami prešli desiatky kolobežiek, ktoré mali rôzne závady. Nie je však zrejme nič, čo by Jána na Xiaomi kolobežke prekvapilo.

Zobraziť celú galériu (0)
Ján Malina / Xiaomi

Preto sme sa naňho obrátili aj po zverejnení informácií o problémoch s firmvérom modelu M365. Vzniknutá situácia mohla v mnohých vyvolať obavy. Zľakli sa aj e-shopy, ktoré kolobežku stiahli z trhu a začali situáciu riešiť. Na prvý pohľad veľký problém však zas nemusí byť pre používateľov Xiaomi kolobežiek úplnou katastrofou. Riešenie je pomerne jednoduché. O tom a mnohých ďalších informáciách sa dozvieš viac v našom rozhovore.


V rozhovore sa dozvieš:

  • Ako vznikol problém, na ktorý upozorňovala SOI?
  • Je možné chybu zneužiť v reálnych podmienkach?
  • Sú obavy ľudí na mieste?
  • Prečo niektorí vodiči upravujú firmvér kolobežky úmyselne?

Prednedávnom prišla SOI s oznámením o probléme, o ktorom sa hovorilo už pred rokom. Vedel by si našim čitateľom detailne priblížiť, o čo v tomto prípade išlo?

Išlo o to, že kolobežky Xiaomi majú možnosť cez originálnu aplikáciu (ale aj cez rôzne iné alternatívne aplikácie) “zamknúť” kolobežku. Pod “zamknúť” si treba predstaviť, že kolobežka ostane v zapnutom stave, vrchné ovládacie tlačidlo nereaguje na stláčanie a motor je elektronicky zabrzdený. Kolobežkou sa dá hýbať, avšak veľmi obtiažne (nebavíme sa samozrejme o možnosti kolobežku vziať na plece a utekať). A pravé toto zamknutie sa oficiálne volá Anti-theft funkcia.

Xiaomi

Takže vlastne jedine o čo ide je, že na kolobežke môžem cez rôzne aplikácie zapnúť funkciu Anti-theft. Avšak tá najdôležitejšia vec je, že je to možné iba v kľudovom stave kolobežky tj. keď stojí. Počas jazdy to nie je možné. Takže bod b) v správe SOI nie je pravdivý. SOI to potom ďalej v texte vlastne aj priznáva, keď píše, že: „Možné zneužitie Anti-Theft funkcie na zablokovanie kolobežky počas jazdy a tým možnosť znížiť jej rýchlosť, resp. ju úplne zastaviť, nebolo potvrdené” .

E-kolobežky, žiaľ, taktiež patria do veľkého množstva zariadení, ktoré sa stávajú terčom útočníkov. Ako mohlo v prípade spomínaných Xiaomi kolobežiek dôjsť k nahratiu firmvéru aj bez autorizácie a čo mohol tento problém spôsobiť pri reálnom používaní?

Na to, aby mohlo dôjsť k spomínanému nahratiu iného firmvéru, by muselo byť splnených hneď niekoľko podmienok:

  • Dostatok času kedy kolobežka stoji na mieste.
  • Relatívne krátka vzdialenosť, aby nahrávanie firmvéru cez Bluetooth zbehlo korektne.
  • Nepozornosť užívateľa, kedy kolobežka pípne, že sa niekto pripojil. Ak by to užívateľ spozoroval, jednoducho ju vypne a zapne, čím preruší Bluetooth spojenie.
  • Nižšia verzia firmvéru.
Povedzme, že by sme sa vybrali na elektrickej Xiaomi kolobežke do mesta alebo do kaviarne a nechali ju bez dozoru. Koľko času by útočník potreboval a čo všetko by musel spraviť, aby sa mu podarilo nahrať škodlivý firmvér?

Začnime tým, že nič ako škodlivý firmvér na kolobežku neexistuje. Keď sa bavíme o rôznych verziách firmvérov, ktoré si človek môže nájsť na internete alebo upraviť ako potrebuje, vždy to bolo, aby si kolobežku vylepšil. Či už zvýšil rýchlosť alebo silu motora pri rozbehoch a jazde do kopca, alebo ak si užívateľ chce pridať externú batériu, ktorá môže zvýšiť až dvojnásobne dojazd, mal by si nahrať upravenú verziu FW, aby o batérií kolobežka vedela.

Ale, ak už by vám chcel niekto takúto príjemnú službu spraviť a kolobežku vylepšiť napríklad v kaviarni, zabralo by mu to pár minút. Samozrejme, musel by si ju prísť najskôr k vám zapnúť.

Akými nástrojmi by sa vôbec vedel útočník k danej kolobežke dostať a ktorú konkrétnu časť softvéru by mohol zneužiť?

Rieši sa to hlavne cez mobilné aplikácie cez Bluetooth komunikáciu. Firmvér je možné upravovať na troch rôznych elektronikách, ktoré sa v kolobežke nachádzajú, ale teda je to hlavne riadiaca jednotka, do ktorej sa upravený firmvér nahráva.

Sám vlastníš servisné centrum, kde tvojimi rukami prešli stovky týchto kolobežiek a zaiste poznáš aj ich najväčšie slabiny. Aká je šanca, že by k takémuto napadnutiu firmvéru kolobežky došlo za bieleho dňa, respektíve, stretol si sa s niečím takýmto aj vo svojej práci?

Ako som spomínal vyššie, šanca tam je, ale musia byť splnené spomínané podmienky. Ale reálne tá šanca je veľmi malá. Áno stretávam sa s tým bežne, ale nie z pohľadu záškodníctva, ale z pohľadu pomoci zákazníkom. Ak chcú skúsiť vyšší výkon, prípadne rýchlosť, viem im pomôcť.

Nie sú potom tieto „vytuningované“ kolobežky s upraveným firmvérom náchylnejšie na hacknutie či iné zneužitie zo strany útočníka?

Každý takýto firmvér sa vlastne tvári ako starší, a teda aj sama kolobežka, ak sa pripojí cez originálnu aplikáciu, pýta si automaticky aktualizáciu firmvéru na najnovší. Náchylnejšie by som to nenazval, jednoducho, ak má človek poslednú verziu, už si kolobežku neupraví.

Je vôbec pomerne veľká obava ľudí na mieste?

Vôbec. Preto som bol veľmi prekvapený, keď som si čítal prvý článok o tom, ako je to strašne nebezpečné a aké riziko vlastne užívateľom hrozí. Žiadne riziko, ani nebezpečenstvo nehrozí.

FonTech

Nebojte, nikto vám kolobežku za jazdy “nehekne” ani vás kolobežka sama od seba nenasmeruje do Dunaja. Skôr vás nepríjemne zastaví odbočujúce auto alebo autobus.

Niektorí predajcovia takmer okamžite reagovali na situáciu stiahnutím kolobežiek z trhu. Bolo to skutočne nutné? Čo stačí majiteľom spraviť, aby bola ich kolobežka bezpečná, teda chránená pred týmto problémom?

Absolútne. Oni by spravili vlastne iba to, čo si každý môže spraviť sám cez oficiálnu aplikáciu, a to upgrade FW. Otázne je, či by to vlastne vôbec vedeli, lebo väčšina predajcov sú naozaj iba predajcovia a často im chýba technický základ. Ak má niekto kolobežku zaheslovanú, tak mu vlastne predajca ani nepomôže.

Budú kolobežky Xiaomi M365 bezpečné aj po opätovnom zaradení do predaja?

Toto je dobrá otázka. Ako sa postupne vyvíjala novšia a novšia oficiálna verzia FW, v ktorých sa blokovalo nahrávanie iných neoficiálnych verzií, postupne vychádzal aj aplikáciám nový “patch”, cez ktorý sa to znova dalo.

Môže sa podobná chyba vyskytnúť aj u iných modelov e-kolobežiek od Xiaomi či napríklad iných výrobcov z Číny, ktorí ponúkajú prepojenie aplikácie s kolobežkou?

Určite áno. Ale nemyslím si, že to bude tak zaujímavé, aby niekto venoval čas (veľa času) pri iných značkách alebo modeloch, ktoré nie sú tak rozšírené ako Xiaomi M365 alebo Xiaomi Mi Scooter Pro, prípadne Ninebot.

xiaomi kolobežka
Xchuxing

Tvoj servis navštevuje veľa ľudí, ktorí majú so svojou kolobežkou nejaký problém. Ako by si riešil takúto chybu s firmvérom?

Ako som spomínal, nie je to chyba. Pravé to, že niekto rozlúskol HEX kód firmvéru, otvorilo obrovské možnosti úprav na kolobežke a ľudia sa z nich tešia. Samozrejme, ak sa niekto bojí, že by sa mu mohlo niečo stať, pokiaľ nemá poslednú verziu, rád mu ju aktualizujem.

Ku každému sa snažím pristupovať individuálne a snažím sa pomôcť, ak chce externú batériu alebo chce, aby kolobežka lepšie ťahala do kopca, spraví sa úprava FW. Ak chce mať niekto kolobežku tak ako je a chce mať oficiálnu aktualizáciu, spraví sa tá.

Pošli nám TIP na článok



Teraz čítajú