Nieuws

Segway hoverboard door lekken op afstand over te nemen

woensdag 19 juli 2017, 12:46 door Redactie, 5 reacties

Beveiligingsonderzoeker Thomas Kilbride heeft in een populair hoverboard van Segway verschillende ernstige kwetsbaarheden ontdekt waardoor de apparaten op afstand zijn over te nemen en de privacy van bestuurders in het geding is (pdf). Het gaat om de Segway/Ninebot MiniPRO Hoverboard.

Via de kwetsbaarheden is het mogelijk om de veiligheidssystemen te omzeilen en op afstand het apparaat over te nemen. Vervolgens kan een aanvaller de snelheid of richting aanpassen of de motor uitschakelen. Het hoverboard wordt geleverd met een app waarmee de gebruiker de lichtkleuren kan aanpassen, het hoverboard op afstand kan bedienen, de batterijduur en het resterend bereik kan zien.

De bestuurder kan wel een pincode instellen om de app via bluetooth verbinding te laten maken, maar Kilbride ontdekte dat het hoverboard de standaard pincode van 000000 niet wijzigt. Na verbinding te hebben gemaakt kan een aanvaller kwaadaardige firmware-updates installeren. De integriteit van de firmware-update wordt namelijk niet gecontroleerd. Daarnaast bleek dat hoverboard-bestuurders in het gebied via de gps van hun smartphone werden geïndexeerd.

De locatie van elke bestuurder wordt daarnaast gepubliceerd en is publiek beschikbaar. "Zodoende kunnen de hoverboards worden gevonden, gevolgd, gekaapt en bestuurd zonder dat de bestuurder dit doorheeft", laat Kilbride weten. Segway werd op 24 december vorig jaar ingelicht en kwam in april met een nieuwe versie van de app waarin de ernstigste problemen zijn verholpen. Gebruikers van het hoverboard krijgen dan ook het advies om de meest recente versie van de app te installeren. In onderstaande video worden de kwetsbaarheden gedemonstreerd.

WikiLeaks publiceert documenten van CIA-leverancier

Mozilla ontwikkelt opensouce-stemherkenningssysteem

Reacties (5)

19-07-2017, 14:20 door Anoniem

Heel grappig, nu nog je elektriese auto, stuur-richting verkeerd om zetten zodra die boven 120 gaat, net als in een video game.

19-07-2017, 14:29 door Anoniem

Waarom is het technisch gezien nodig om te Segway op afstand uberhaupt te kunnen besturen ? Indien de functionaliteit niet wordt ingebouwd, kunnen hackers deze ook niet overnemen. Moeten auto's of scooters bijvoorbeeld ook op afstand bestuurd kunnen worden ? ;)

19-07-2017, 15:57 door Anoniem

@ 14:29 door Anoniem,
Een stuur zit niet vast aan de wielen, je kan veranderen hoe die reageert,
met een firmware update willen ze alles kunnen verbeteren, ( alsof ze niets goeds maken van de fabriek uit ? ),
ik hoop dat ze een extra chip voor belangrijke dingen zoals je stuur erin zetten die je niet kan updaten, die zal tog wel af zijn.

Het is makkelijk om alles te kunnen aanpassen met 1 chip update.
Ik kan geen goed antwoord geven, ik kijk nergens van op als het zo is, is per auto verschillend,
ik vind dat er wetgeving voor moet komen, maarja daar hebben ze geen verstand van die politiek.

Beter vind ik als ze eerst hun computers veilig maken voordat ze zelfrijdende autos maken.

19-07-2017, 20:19 door Anoniem

Waarom wordt dit toch een hoverboard grnoemd?
Ik zie het nergens zweven.

20-07-2017, 00:48 door [Account Verwijderd] - Bijgewerkt: 20-07-2017, 00:49

Het hoverboard wordt geleverd met een app waarmee de gebruiker het hoverboard op afstand kan bedienen

Zo zo...Da's van groot nut!

Als ik iemand trots zou vertellen dat ik mijn fiets met een app op afstand kan bedienen, rent men waarschijnlijk weg onder het uitroepen van "HELP EEN GEVAARLIJKE GEK!!"
Nou zal dat wel komen omdat ik dan zo'n uitspraak alleen zou doen ten overstaan van leeftijdsgenoten met grijze of kale koppen maar.... ziet iemand nou wèrkelijk enig nut in zo'n nekkenbreker, en dan ook nog op afstand te bedienen. Ik veeg het weg onder de noemer onzin produkten, zoals neus- of oorhaarknippers.

Hoverboard? Omkiepbord is toepasselijker De enige die ik ooit in mijn deurp heb gezien kwam inclusief 'bestuurder' tot stilstand tegen een bord nadering voorrangsweg in plaats van ervóór en................ neen dit zuig ik niet uit mijn duim!

Oh vergeten: Ga toch lopen.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Vacature

Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime

Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!

Lees meer

Rijksoverheid moet onmiddellijk stoppen met Facebook na advies AP:

Vacature

Digital Designer

Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.

Lees meer

Vacature

Cyber Security Trainer

"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”

Are you ready for a challenge?

Lees meer

Vacature

Senior Full Stack Developer

Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.

Lees meer

Security.NL - X

10-01-2024 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons ook op X!

Lees meer

Segway hoverboard door lekken op afstand over te nemen

Rijksoverheid moet onmiddellijk stoppen met Facebook na advies AP:

Wachtwoord Vergeten

Password Reset

Registreren