米セキュリティ企業のZimperiumは2月12日、中国Xiaomi製の電動スクーターを遠隔操作して、勝手に急ブレーキをかけたり急加速させたりできてしまう問題を発見したと伝えた。信号を横断中の他人のスクーターにロックをかけて、動かなくさせる様子を示したデモ映像も公開している。

Zimperiumのブログによると、同社はIoTデバイスのセキュリティに関する研究の一環として、Xiaomiの電動スクーター「Xiaomi M365」に着目した。M365は大きなシェアを持ち、違うブランドで使われていることもあるという。

Xiaomi M365は、専用アプリを使ってBluetooth経由で盗難防止やクルーズコントロール、エコモードといったシステムの操作やファームウェアの更新などができる仕組みを実装しており、スクーターはパスワードで保護されている。

Zimperiumのブログ

ところがZimperiumが調べた結果、スクーターの認証プロセスでこのパスワードが適切に使われておらず、パスワードなしで全コマンドを実行できてしまうことが分かったという。

Zimperiumのブログに掲載されたデモ映像では、不正なアプリを使って近くにいるXiaomi M365スクーターを探し、そのスクーターの盗難防止システムを勝手に作動させて動けなくしてしまう様子を撮影している。このアプリでは、100メートル以内にいるスクーターにコマンドを送ってロックをかけることができるという。

Zimperiumのブログに掲載されたデモ映像

この問題を悪用すれば、ファームウェアにマルウェアを仕込んでスクーターを制御したり、特定の相手を狙って急ブレーキをかけたり急加速させたりすることも可能だとZimperiumは説明。悪質なファームウェアのコンセプト実証コード（PoC）も開発し、調査研究用に提供しているという。

Zimperiumは1月下旬にこの問題をXiaomiに報告し、Xiaomiからは、この問題については社内で把握しているという回答があったと伝えている。

関連キーワード スクーター | Xiaomi | 遠隔操作 | セキュリティ

