Naukowcy z Wydziału Informatyki Uniwersytetu Teksańskiego w San Antonio (UTSA) ujawnili niedawno luki w ekosystemie mikromobilności, które mogą zagrozić bezpieczeństwu i prywatności użytkowników skuterów elektrycznych zasilanych bateryjnie.
Według badań przeprowadzonych przez asystenta profesora Murtuza Jadliwala, zagrożenia nie są związane z samym skuterem elektrycznym, ale obejmują również związane z nim usługi oprogramowania i aplikacje.
Badania pojawiają się wśród rosnącej popularności e-skuterów jako opcji łagodzenia lub omijania korków, a dostawcy usług oferują użytkownikom łatwe opcje płatności, elastyczne odjazdy i lokalizację geograficzną za naciśnięciem jednego przycisku.
Pełny artykuł badawczy, który ma zostać zaprezentowany na AutoSec w marcu 2020 r., Porusza wiele różnych aspektów, z których mogą korzystać hakerzy, w tym:
- wykorzystanie luk w zabezpieczeniach aplikacji na smartfony i kanałów komunikacji
- eksfiltrowanie danych od usługodawców
- podsłuch użytkowników przez te kanały przy użyciu sprzętu lub oprogramowania
- fałszowanie systemów GPS, aby kierować użytkowników w niezamierzone miejsca
Jednym z kluczowych czynników promujących ataki jest połączenie Bluetooth Low Energy (BLE), na którym opiera się większość skuterów elektrycznych. Aby skorzystać z pojazdu, rowerzysta potrzebuje danych Bluetooth i danych internetowych aktywowanych na swoim smartfonie.
W opublikowanej próbce badania naukowcy ostrzegają również przed uszkodzeniami fizycznymi, które mogą mieć wpływ na rowerzystę, jeśli zostanie naruszony jakikolwiek element elektroniczny lub mechaniczny.
„Po zakupie e-hulajnogi atakujący może zainstalować złośliwe moduły, usunąć lub wymienić kluczowe komponenty przed umieszczeniem go z powrotem na ulicach w celu zdalnego sterowania e-hulajnogą lub potajemnego gromadzenia danych o hulajnodze i populacji w pobliżu e – skuter – napisali autorzy.
Napastnicy mogą umyślnie narazić na niebezpieczeństwo użytkownika, uszkadzając hamulce lub inne elementy e-skutera. Dodatkowe ryzyko związane jest z danymi osobowymi, które są automatycznie gromadzone przez usługodawców. Jeśli udostępnianie danych jest nieuregulowane i nie jest anonimowe, informacje można wykorzystać do utworzenia profili użytkowników – mówi Mariusz Politowicz, ekspert ds. bezpieczeństwa Bitdefender