SIKKERHET

Hackere kan ta kontroll over ståhjulingen

Segway-kjøretøyet lot seg kapre i fart. – Risiko for alvorlig personskade.

Forskere har påvist en rekke kritiske sårbarheter i minimodellen Segway Ninebot Minipro. Ilustrasjon.
Forskere har påvist en rekke kritiske sårbarheter i minimodellen Segway Ninebot Minipro. Ilustrasjon. Bilde: Segway
20. juli 2017 - 14:37

Kritiske sårbarheter er påvist i Segway Ninebot Minipro. En angriper kan ta kontroll over og fjernstyre ståhjulingen mens den er i bruk.

Dette er et selvbalanserende brett med to hjul, som drives av en elektrisk motor med oppgitt toppfart på 18 km/t.

Både hastighet og retning kan manipuleres, med tilhørende risiko for alvorlig skade. Dessuten kan motoren skrus av i fart, noe som vil føre til en uventet bråbrems, skriver sikkerhetsselskapet Ioactive i en kunngjøring.

Så du denne? Her går journalist på trynet med ståhjuling

Blåtann

Minipro har en mobilapp som lar føreren styre doningen over en bluetooth-forbindelse med en rekkevidde på opptil 15 meter. Ved å studere protokoll og kode gjorde selskapets forsker Thomas Kilbride en rekke urovekkende funn.

Det var blant annet mulig å foreta en firmware-oppdatering av ståhjulingen, og endre på styreprogramvaren uten autentisering. Mobilappen ber om pinkode, men denne sjekkes ikke på et lavere nivå ved tilkobling. Pinkoden kunne også endres av uvedkommende.

Zach Servideo fra Segway demonstrerer en Minipro, som i motsetning til større modeller ikke har lang styrepinne og følgelig kjøres håndfritt. Bildet er tatt i Los Angeles i fjor sommer. <i>Foto: Reed Saxon, AP</i>
Zach Servideo fra Segway demonstrerer en Minipro, som i motsetning til større modeller ikke har lang styrepinne og følgelig kjøres håndfritt. Bildet er tatt i Los Angeles i fjor sommer. Foto: Reed Saxon, AP

GPS-sporing

Som om det ikke var nok oppdaget Kilbride at Minipro-appen registrerte og røpet posisjonen til brukerne.

– Alle ble indeksert ved hjelp av mobiltelefonens GPS. Posisjonen til hver enkelt var offentlig tilgjengelig, så ståhjulingene kunne bli funnet, sporet, kapret og kontrollert, helt uten førernes viten, sier han i en pressemelding.

Segway ble informert om sårbarhetene i januar og de mest kritiske hullene skal ha blitt rettet i en firmware-oppdatering, versjon 3.20 som kom i våres.

Sårbarhetene er nærmere beskrevet i et sikkerhetsvarsel som ble publisert i går. Kilbride er for øvrig invitert til å holde foredrag om funnet på sikkerhetskonferansen Black Hat i Las Vegas neste uke.

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.