Un fallo de seguridad permite actuar sobre el patín Xiaomi M365 a distancia

Unos investigadores han descubierto un fallo grave de seguridad en el modelo de patín eléctrico más extendido del mercado, el M365 de Xiaomi. Un atacante podría manipularlo a distancias cortas conectándose a través de Bluetooth.

Un fallo de seguridad permite actuar sobre el patín Xiaomi M365 a distancia

El gigante tecnológico chino Xiaomi triunfa en muchas áreas del mercado, como en teléfonos móviles, TVs, portátiles, robots aspiradores y en toda clase de dispositivos de Internet de las Cosas (IoT). Pero sin duda uno de los artículos que más éxito ha tenido en el mundo es su patín eléctrico modelo M365.

Hoy encontramos multitud de marcas y modelos de estos patines en las tiendas, pero en el momento en que Xiaomi irrumpió en el mercado con éste, no había tanta variedad y los precios de la competencia eran mucho más elevados.

La adecuada relación entre su calidad y su precio han hecho que sus ventas no hagan más que crecer desde hace ya al menos dos años. Aun habiendo aparecido otros modelos semejantes, incluso algunos basados en ese mismo patín, podemos asegurar que el M365 es el más vendido con diferencia. No hay más que fijarse un poco en los que circulan por nuestras calles (aceras, carriles bici, plazas, etc.) para ver que es cláramente el más extendido, tanto en la versión blanca como la negra.

Fallo grave descubierto

El problema que han descubierto los investigadores en seguridad informática es que el patín es vulnerable a ataques desde teléfonos móviles que estén en su proximidad.

Para ello, el atacante debe contar con alguna aplicación en su teléfono capaz de aprovechar esa vulnerabilidad, algo que no es muy probable, pero sabiendo la capacidad de difusión que tiene Internet, no resulta tan difícil.

Una vez difundido el problema, seguro que ya hay un buen número de desarrolladores creando aplicaciones para ello y distribuyéndolas por las redes más técnicas. Basta que alguien la instale para que vaya a probarla por cualquier lugar de la ciudad.

Este fallo permite que el intruso actúe desde su teléfono sobre cualquier Xiaomi M365 que esté al alcance de su Bluetooth. Estamos hablando de unos metros, 15 o 20 a lo sumo, pero suficientes para hacerlo de forma disimulada e imperceptible.

Puede provocar que se bloquee para que no funcione, pero también puede acelerarlo o hacerlo frenar en seco, con el peligro que ello puede suponer si se hace mientras se circula. Incluso permite instalar un firmware modificado que podría contener algún tipo de malware o virus.

Aprovecha una vulnerabilidad en la conexión Bluetooth del patín. En principio debería requerir una contraseña para conseguir la posible interacción, pero el sistema no funciona como se esperaba. Cualquier aplicación diseñada para ello puede comunicarse con los patines sin necesidad de esa contraseña.

Qué se puede hacer

El fabricante Xiaomi ya es conocedor del problema y ha comunicado que está trabajando en solucionarlo. En la fecha en la que publicamos este artículo no hay noticias de que ya se haya resuelto, pero esperemos que lo hagan en breve.

Ha anunciado que la solución la están desarrollando para que llegue a los patines vía OTA (Over The Air – por el aire), es decir, se actualizará de forma automática cuando el patín se conecte a los teléfonos.

Habrá que estar atentos a las notificaciones que muestre la aplicación Mi Home, con la que se puede gestionar el patín, para que se instale la nueva versión de firmware que solucione el problema de seguridad.

Recordemos que todos los días se descubren vulnerabilidades en los dispositivos tecnológicos y el modo que tienen los fabricantes de solucionarlas es actualizando los programas informáticos que los controlan, también conocidos como firmware. Si queremos mantener nuestros dispositivos, nuestra información e incluso nuestra propia seguridad a salvo, no dejemos de actualizar a las nuevas versiones que los fabricantes nos proporcionan regularmente.