As pessoas não param de se ferir em patinetes elétricos. Algumas estão andando ilegalmente pelas calçadas, outras estão levando companhia na garupa, violando leis de trânsito nos EUA, usando-os mesmo sendo menores de idade, e muitas estão supostamente passeando por aí sem capacete. Mas, agora, há uma nova razão para pensar duas vezes antes de pegar uma dessas engenhocas de duas rodas, e isso não tem nada a ver com o seu próprio desrespeito pela segurança: hacks.

Nesta terça-feira (12), a empresa de segurança Zimperium publicou um relatório detalhando o que os pesquisadores dizem ser falhas de segurança do patinete elétrico M365, da Xiaomi, que o tornam suscetível a hackers. Especificamente, a Zimperium descobriu que cada um desses patinetes tem uma senha Bluetooth para acessar seus recursos, mas “a senha não está sendo usada corretamente como parte do processo de autenticação com o patinete e que todos os comandos podem ser executados sem a senha”. Isso significa que um hacker pode bloquear qualquer patinete M365 com um ataque de negação de serviço, distribuir malware para controlar totalmente o veículo e fazer com que ele trave ou acelere remotamente.

Os pesquisadores conseguiram controlar remotamente um patinete a uma distância de até 100 metros e publicaram um vídeo no YouTube que mostra o hack utilizado na vida real.

No vídeo, um “hacker” tem como alvo um indivíduo que está andando em uma faixa de pedestres, fazendo com que o patinete freie remotamente a partir de seu smartphone. Na descrição do vídeo, os pesquisadores escreveram que usaram um malware para encontrar patinetes M365 próximos e então desativaram o veículo visado por meio do recurso antirroubo “sem autenticação ou consentimento do usuário”.

A Zimperium disse em seu relatório que alertou a Xiaomi sobre as falhas de segurança, mas que elas ainda não foram corrigidas. “Infelizmente, a segurança do patinete ainda precisa ser atualizada pela Xiaomi (ou quaisquer terceiros com quem eles trabalhem) e não pode ser corrigida facilmente pelo usuário”, escreveu o pesquisador. Um porta-voz da Xiaomi disse ao Verge que a companhia estava investigando o problema.

Muitos patinetes elétricos nos Estados Unidos, mesmo os usados por outras marcas ou vendidos com outros nomes, contêm os componentes vulneráveis da Xiaomi, dizem os pesquisadores.

“Isso pode ter implicações em qualquer serviço de compartilhamento de viagem que use patinetes da Xiaomi, mas que não desabilitou ou substituiu o módulo Bluetooth da Xiaomi”, disse Rani Idan, pesquisador de segurança da Zimperium, ao Verge. “Além disso, os patinetes da Xiaomi são rebatizados e vendidos com nomes diferentes, eles podem ser afetados.”

A Bird, uma das principais empresas de patinetes sem estações fixas nos Estados Unidos, disse ao Verge que seus patinetes não são afetados pela falha de segurança detalhada no relatório da Zimperium. E a Lime, a outra empresa líder no segmento, disse alegadamente que não tem nenhum patinete M365 nas ruas.

Como Idan apontou, ainda não está claro se outras empresas poderiam ter patinetes afetados em suas frotas e se eles ainda estão suscetíveis a esse hack. Pessoas já estão sendo enviadas para o pronto socorro por erros humanos ao andar nesses veículos. A última coisa de que precisamos é de um hack malicioso em algo já arriscado.

[The Verge]