Segway/Ninebot MiniPRO:公司解决一些安全问题

(TECHXPlore)----这里是2017年7月，安全漏洞故事以“固件”作为关键词之一。这次是什么?

Segway/Ninebot MiniPRO是由IOActive实验室的安全研究人员发现的，他们能够被远程入侵和控制。

同时，IOActive披露了Segway/Ninebot的漏洞。该公司作出了回应。它已经发布了一个新的版本，以解决一些确定的问题，在周三报告了IOActive，并通知IOActive的修复。

“好消息是，”莉莉·纽曼(莉莉·纽曼)在“连线”(Wired)中说，IOActive在1月份披露了这些缺陷，“公司在4月份的一次应用更新中解决了大部分问题。”

如果你不熟悉这个Segway MiniPRO，Segway已经为其版本的称为MiniPRO的悬置板引入了一些特性，cnet中的阿尔弗雷德·吴说，它可以让你通过蓝牙连接自平衡滑板到你的手机，并通过应用程序远程控制这台机器。

实验室发布了一段视频，解释了这些漏洞是如何被无线利用的。实验室的团队设置了场景来展示通过不同类型的攻击所能发生的事情。

Android开发人员，安全研究人员：

“当我开始进一步研究时，我了解到，现在的规定要求悬浮板符合某些机械和电气规格，以防止电池起火和各种机械故障；然而，目前还没有旨在确保固件完整性和验证的条例，尽管固件也是系统安全的组成部分。”

索福斯说，研究人员发现关于MiniPRO的一个疏忽是每个MiniPRO都有相同的PIN代码。

但让托马斯·基尔布莱在IOActive网站上的一个博客中解释一下：

“使用协议分析，我确定我不需要使用骑车人的PIN（个人识别码）来建立连接。尽管骑车人可以设置PIN，但悬停板实际上没有更改默认的引脚000000。\r\r\r\r\r\r\n""

他绕过安全控制通过蓝牙连接。

关于这个应用程序，他在视频中说，他可以绕过安全机制--等等，让我们放大一下这个样子：他说攻击者可以在骑手正在运动的同时远程禁用马达。

另外，在一个场景中，该装置被显示锁上，然后随后逃跑。换句话说，攻击者能够关闭他们，但也能赶走他们。

臭虫也可能被武器化。

该视频称，“找到附近的骑手”功能暴露了附近骑手的位置。在他的博客中，他说他确定该地区的连接乘客使用他们的手机GPS建立索引；因此，他说，每个骑手的位置都是公开的和公开的。

在Kil新娘的制造商建议中：使用蓝牙认证；加密固件。并在应用之前检查固件的真实性。

同时，将骑手的位置隐藏在公众视线之外。这可以防止攻击者轻易地武器化像他这样的攻击。

给消费者的建议？Kilbrie说要避免任何不必要的远程功能，并且要保持更新的最新状态。

在周三IOActive发布的新闻稿中：“IOActive披露了Segway/Ninebot的漏洞，该公司随后发布了一个新版本，以解决一些已查明并告知IOActive修复程序的问题。”