Topthemen

Xiaomis gehackter E-Scooter zeigt die Gefahren der mobilen Zukunft

mobility electric 10b
© Leika production/Shutterstock

Während hierzulande E-Scooter noch auf ihre Zulassung warten, besiedeln sie in anderen Teilen der Erde bereits die Straßen zahlreicher Großstädte. Doch während sich einige über die Gefahren Gedanken machen, wenn man von einem solchen Scooter angefahren wird, lauert da noch eine andere Gefahr.

Wie die aussieht, zeigt ein vom Sicherheitsunternehmen Zimperium veröffentlichtes Video. Mit diesem wollen die Forscher vor einem kritischen Bug bei Xiaomis populären E-Scooter M365 warnen, der auch von Leihfirmen wie Lyft oder Bird eingesetzt wird. Der erlaubt es Angreifern aus der Ferne die Kontrolle über den Roller zu übernehmen und anschließend kritische Funktionen wie das Beschleunigen und Abbremsen zu beeinflussen.

Dabei machen sich die Experten den Aufbau der Software des E-Scooters zunutze. Der besteht aus drei Säulen: Akku-Management, die Firmware für die Kommunikation zwischen Soft- und Hardware sowie ein Bluetooth-Modul. Über Letzteres können Besitzer über das Smartphone mit dem Xiaomi M365 "kommunizieren".

Rani Idan, Zimperiums Direktor für Softwareforschung, fand dabei heraus, dass man sich mit dem Roller verbinden konnte, ohne nach einem Passwort oder ähnlichem gefragt zu werden. Anschließend lässt sich in wenigen Sekunden eine neue Software aufspielen, bei der nicht geprüft wird, ob sie offiziell vom Hersteller stammt. Das bedeutet, dass Angreifer ohne Probleme Malware installieren und volle Kontrolle über den Roller erhalten können.

Fehler lässt sich (aktuell) nicht beheben

Denkbar sind hier schlimme Szenarien, in denen die Nutzer des E-Scooters in den fließenden Verkehr beschleunigt oder im selbigen plötzlich abgebremst werden. Natürlich hat man bei einem solchen Roller leichter die Möglichkeit abzuspringen, um schlimmeres zu verhindern. Aber nicht unwahrscheinlich ist, dass man durch den Überraschungsmoment nicht schnell genug reagiert oder durch das plötzliche Abspringen einen Unfall verursacht.

P90276747 highRes x2city lissabon 09 2
E-Scooter erfreuen sich bereits in zahlreichen Städten großer Beliebtheit. / © BMW

Als wäre das nicht schon erschreckend genug, gibt es dann noch das Statement von Xiaomi zu dem Thema. Zimperium zufolge hat man Xiaomi über das Problem informiert und bekam als Antwort, dass man sich des Problems bewusst ist, aber aktuell nicht in der Lage sei, es selbst zu beheben. Der Grund dafür dürfte sein, dass der Hersteller die Bluetooth-Schnittstelle von einem Drittanbieter bekommt und nicht selber programmiert.

E-Scooter sind auf dem Vormarsch

Es ist nicht das erste Mal, dass sich eines der sogenannten elektrischen Leichtfahrzeugen hacken lässt. Im Jahr 2017 fanden Forscher eine kritische Sicherheitslücke im den Segway MiniPro Hoverboards. Und mit Sicherheit wird es nicht die letzte Lücke sein, die sich in den Fahrzeugen einschleicht.

Das ist gerade mit Blick auf die Zukunft beängstigend. Denn die kleinen E-Scooter sind auf dem Vormarsch und es wird nicht lange dauern, bis, wie zum Beispiel zuletzt bei Leihfahrrädern, kleine Hersteller auf den Markt drängen und mit halbgarer und schnell zusammengewürfelter Software ein potenzielles Risiko darstellen. Hier müssen dringend Richtlinien festgelegt werden, die für mehr Sicherheit sorgen!

Via: Wired

  Aktuelles Ultra-Modell Aktuelles Plus-Modell S23-Basis-Version Aktuelle Fan-Edition
 
  Samsung Galaxy S23 Ultra Product Image Samsung Galaxy S23+ Product Image Samsung Galaxy S23 Product Image Samsung Galaxy S23 FE Product Image
Bewertung
Test: Samsung Galaxy S23 Ultra
Test: Samsung Galaxy S23+
Test: Samsung Galaxy S23
Noch nicht getestet
Kurz-Test: Samsung Galaxy S23 FE
Preisvergleich
Zu den Kommentaren (26)
Christopher Gabbert

Christopher Gabbert
Redakteur

Christopher ist vor knapp 8 Jahren mir dem HTC Hero auf den Android-Geschmack gekommen und schreibt seit Juli 2018 für AndroidPIT. Nach dem Ausprobieren zahlreicher Android-ROMs und einigen Monaten mit dem iPhone, ist er aktuell wieder bei purem Android gelandet.

Zeige alle Artikel
Hat Dir der Artikel gefallen? Jetzt teilen!
Empfohlene Artikel
Neueste Artikel
Push-Benachrichtigungen Nächster Artikel
26 Kommentare
Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!
Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!

  • 1
    Uduc 13.02.2019 Link zum Kommentar

    Ein weiterer Pissgedanke zur Nutzung solcher Fahrzeuge. 1. Habe ich neulich in einer Pizzeria gesehen, wie jemandem der Wein 'weg'getrunken wurde, als er kurz auf Toilette war. 2. ..habe habe ich neulich beobachtet, wie jemand die Kontoauszüge seines Nachbarn aus dem Briefkasten fingerte ... Etwas um die 600 km bin ich in Frankreich schon mit dem M365 gefahren. Das Einzige warauf man achten muss, ist dass genug Luftdruck in den Reifen ist. - Für mich sind die Roller die Lösung gegen die allmorgentliche Ansteckungstour in öffentlichen Verkehrsmitteln. - Dass man da selbst mit Trojanern und Viren infiziert wird, da regt sich kein Betriebswirt auf .. usw. .. es gibt aber genug Argumente gegen Spiessbürgertum!


  • 5
    Flo Naldo 13.02.2019 Link zum Kommentar

    In den Verkehr lenken ist jawohl Quatsch, lenken macht man wohl noch mit seinen Armen. Außerdem muss der "Hacker" immer in Bluetooth-Reichweite sein, also ca. 10 Meter. Ein gehackter Tesla über lte ist das wohl weitaus schlimmer. Man kann auch Reifen von Autos zerstechen oder Bremsen manipulieren, was genauso strafbar ist.
    Hat der Xiaomi m365 nicht sogar eine mechanische Bremse per Hebel?

    "Erst mal auf den Markt werden und verhökern": Solche Kommentare regen mich richtig auf, denn der Roller ist seit ca. 3 Jahren auf dem Markt und jetzt kann jmd ggf. kurzfristig den Roller "hacken" und macht sich strafbar. Kannste gleich ein paar Ziegelsteine auf eine Bahnstrecke werfen.
    Diese ganze Hetze gegen die Roller verstehe ich nicht. Zum Beispiel so etwas wie "sogar schon 2 Todesfälle in den letzten 1,5 Jahren durch eRoller." Ja Leute, natürlich kann etwas passieren, aber schaut euch doch mal an wie viele Leute mit dem Fahrrad, Auto oder eBike tödlich verunglücken?! In Deutschland sterben knapp 100 Radfahrer pro Jahr, aber eScooter sollen wegen 2 Todesfällen in dem USA als gefährlich gelten? Gebt etwas neuem mal eine Chance.

    SarahLea KeilerAndréGelöschter AccountSimeon S.


    • Christopher Gabbert 24
      Christopher Gabbert 13.02.2019 Link zum Kommentar

      Daher ist das Wort "lenken" auch in Anführungszeichen geschrieben. Hier geht es zum Beispiel um das Szenario, dass der Roller mitten im fließenden Verkehr abgebremst wird und der Fahrer vor Schreck den Lenker verzieht oder der Roller plötzlich Vollgas gibt und der Fahrer erst einmal verwundert ist und dabei den Überblick über den Straßenverkehr verliert. Ich habe die Passage aber für ein besseres Verständnis mal abgeändert.

      Gegen die kleinen E-Scooter hetzen, will ich auf keinen Fall. Wie schon in früheren Artikeln beschrieben, mag ich sie genauso wie elektrische Skateboards. Es geht vielmehr um eine vernünftige Regulierung, damit nicht irgendwann ungeprüfte Modelle von unzähligen Anbietern in der Stadt herumstehen, die vllt nicht ausreichend sicher sind.


      • 3
        Apple 🍏🍏 13.02.2019 Link zum Kommentar

        Was ein Schwachsinn "dass der Roller mitten im fließenden Verkehr abgebremst wird", ist ja kein Problem innerhalb von Sekunden sich mit dem Roller zu verbinden und die Software aufzuspielen. In der Zeit ist die Person schon wieder mit dem Roller weg.

        Lea Keiler


      • 2
        Oliver Seipelt 20.02.2019 Link zum Kommentar

        der Roller läßt sich nur in reichweite hacken 8-10 Meter und die Wegfahrsperre läßt sich nur einschalten, wenn er steht, übrigens gibt es jedesmal einen quittungston und mit der SW version 1.3.8 geht das alles, nicht mehr. ich habe zwei roller in spanien stehen, ansonsten tempo 25, hat man 1,4 secunden zeit, zum connecten und ausführen.... was das jetzt wieder für scriptkidis, auf github anlockt man, man


  • 17
    Peer-Kristian Ott 13.02.2019 Link zum Kommentar

    In den Verkehr lenken? Rly? Welcher servo genau soll das machen?


    • Christopher Gabbert 24
      Christopher Gabbert 13.02.2019 Link zum Kommentar

      siehe oben.


  • 42
    Gelöschter Account 13.02.2019 Link zum Kommentar

    Ähnliche Experimente wurden auch schon erfolgreich mit PKW gemacht. Sobald ein System eine Schnittstelle nach außen hat gibt es immer die theoretische Gefahr der Manipulation. Ich behaupte, dass ein fremd kontrollierter Tesla zum Beispiel doch wesentlich gefährlicher ist als ein Roller.

    Lea Keiler


  • 77
    Gelöschter Account 13.02.2019 Link zum Kommentar

    Wenn die Roller so eine Gefahr darstellen sollen wie angenommen dann sollte man zumindest eine Pflicht der Versicherung einführen die im Schadensfall eingreift. Pflicht der Anmeldung bei Kauf aber keine Pflicht extra dafür einen Führerschein haben zu müssen.

    trixi


    • 25
      Gelöschter Account 13.02.2019 Link zum Kommentar

      Die Versicherungspflicht ist doch für Deutschland geplant damit sei Teile überhaupt genutzt werden können.


  • jan stahl 3
    jan stahl 12.02.2019 Link zum Kommentar

    Es mag sein, dass der Roller nicht wirklich gegen Angriffe geschützt ist aber so wie es hier im Artikel beschrieben ist, ist es völliger Quatsch!
    1. Man müsste für etliche Minuten max 3 Meter abstand zum Roller halten um die Bluetooth Verbindung aufrecht zu halten.
    2. Während upload und flashen des Rollers bleibt dieser stehen, er geht einfach aus.
    3. Der Xiaomi kann Problemlos mit einem Passwort versehen werden, dann kann man auch keine Bluetoothverbindung aufbauen, wer das nicht macht hat selber Schuld!

    Wenn ich jemanden etwas Böses will, dann steck ich ihm ein Stöckchen in die Speichen aber mach keinen angeblichen Hackerangriff der nicht mal funktioniert.

    Für mich ist das mal wieder so ein richtiger Mumpitzartikel

    SarahNervasGelöschter Account


    • Flat Eric 19
      Flat Eric 13.02.2019 Link zum Kommentar

      Nicht völliger Quatsch:
      Zu 1. Wenn es Leihroller sind, stehen sie irgendwo am Straßenrand und können dadurch problemlos angegriffen werden. Oder privat stehen sie in der Garage, wo man auch mal kurz davor verharren kann.

      Zu 2. Das erledigt sich, da die Roller ja beim rumstehen gehackt werden.

      Und zu 3. Das ist ein sehr herablassender Kommentar. Es in unserer Gesellschaft leider so, dass einen alles als einfach und leicht verkauft wird. Wie bei den Internetroutern. Du gehst in den Laden, willst Telefon und Internet, der Verkäufer sagt dir, alles ganz easy, einfach anstecken, einschalten und geht. Von Wlan-Passwort ändern sagt er nichts, das wäre ja nicht mehr easy. Und genau so ist es bei den Rollern. Wo werden die Dinger verkauft? Spielzeugladen? Fahrradladen? Da weiß der Verkäufer wahrscheinlich nicht mal, das man ein Passwort setzten kann. Und wenn, würde wieder der Komfort leiden, weil dann ist nicht mehr einfach einschalten, verbinden und losfahren, also nicht mehr easy. Es ist nicht jeder ein Technik-Nerd wie du, der das alles weiß.
      Für mich ist in solchen Fällen erst mal die Regierung gefragt, die vorschreibt, dass man so was in Deutschland nur verkaufen darf, wenns gesichert ist und das setzten eines Passworts verlangt wird. Erst dann kannst du es auf die "Dummheit" des Benutzers schieben, wenn er nur 4 Nullen als Passwort setzt.

      Und zu deinem Kommentar "Wenn ich jemanden etwas Böses will":
      Du sperrst deine Wohnung/Haus auch nicht zu, weil wenn wer einbrechen will, kommt er sowieso rein, deswegen lässt du gleich die Haustür offen, dann macht er die wenigstens nicht kaputt.


      • 2
        Oliver Seipelt 20.02.2019 Link zum Kommentar

        Die Roller müßen aber dafür ständig angeschaltet sein, die haben aber ein autoshutdown (ich habe 2 davon in spain) das ist hier einfach, alles nur propaganda, damit die mindestens 5 mal und aufwärts teureren roller gekauft werden, dafür bekommt man ein gebrauchtes auto (wir haben 3) und roller mit sitz wie unsportlich, dann kann man ja direkt für später planen und sich so ein opa krankenfahrstuhl mit nummernschild kaufen...


  • 34
    Gelöschter Account 12.02.2019 Link zum Kommentar

    Wie immer.
    Erst mal auf den Markt werfen und verhökern.
    Werden sich schon genug Konsumopfer finden.

    Gelöschter Account


    • 3
      Apple 🍏🍏 13.02.2019 Link zum Kommentar

      "Konsumopfer", bitte einmal dem Computer oder Ihr Handy ausmachen.


      • 34
        Gelöschter Account 13.02.2019 Link zum Kommentar

        Nö, ich arbeite damit.


    • 2
      Oliver Seipelt 20.02.2019 Link zum Kommentar

      übrigens, fährt die chinesiche feuerwehr und die amerikanische polizei, mit dem m365 roller rum, die müßen dann ja wohl alle strunzend dumm sein oder ?


  • 25
    Gelöschter Account 12.02.2019 Link zum Kommentar

    Hier in Deutschland ja eh noch nicht relevant, da man die Teile nur auf privaten Grundstücken nutzen darf.

    Gelöschter Account


    • 36
      Gelöschter Account 12.02.2019 Link zum Kommentar

      Du darfst WhatsApp in Deutschland auch nur nutzen, wenn du von allen Kontakten eine Einwilligung zur Weitergabe ihrer Daten eingeholt hast. Keiner machts. Ist WhatsApp deshalb in Deutschland nicht relevant?

      FrktrixiGelöschter AccountCubix


      • 25
        Gelöschter Account 13.02.2019 Link zum Kommentar

        Sorry aber ein ziemlich dämlicher Vergleich ohne jeglichen Zusammenhang zum Thema.
        Wer sich dafür auch noch bedankt hat wohl das Hirn in der Nachttisch Schublade vergessen.

        Gelöschter Account


      • 3
        Apple 🍏🍏 13.02.2019 Link zum Kommentar

        Wo ist eigentlich die Einwilligung von mir, dass du hier so etwas schreiben darfst?


      • Bastian Siewers 66
        Bastian Siewers 13.02.2019 Link zum Kommentar

        Seit wann braucht hier irgendein User irgendeine Einwilligung von dir?

        Gelöschter Account


      • Thomas Ziegler 1
        Thomas Ziegler 13.02.2019 Link zum Kommentar

        Das gilt aber nicht für Dein privates Smartphone mit Deinen privaten Kontakten. Die EU-DSGVO regelt nicht die privaten Lebensbereiche


      • 36
        Gelöschter Account 13.02.2019 Link zum Kommentar

        @Nuckelpinne21

        Ok, wenn du nicht verstanden hast, worauf ich mit dem Vergleich hinaus will (kein Grund, deshalb die Leser zu beleidigen), erkläre ich es dir ohne Vergleich:

        Ob etwas in Deutschland relevant wird, hängt nicht zwangsläufig von einem Verbot oder einer Einschränkung der Nutzung ab.


      • 36
        Gelöschter Account 13.02.2019 Link zum Kommentar


      • 25
        Gelöschter Account 13.02.2019 Link zum Kommentar

        Ok da du es anscheinen immer noch nicht verstanden hast, solange die Dinger in Deutschland in der Öffentlichkeit nicht benutzt werden dürfen tendiert die Wahrscheinlichkeit gegen Null das hier etwas passiert.
        Fazit: Es, ist Stand heute, hier nicht relevant.

Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!
VG Wort Zählerpixel