Xiaomi-Scooter lässt sich über Bluetooth kapern

Unbefugte können den Xiaomi M365 stoppen oder beschleunigen, was für den Fahrer lebensgefährlich ist. Auch andere Marken könnten betroffen sein.

In Pocket speichern vorlesen Druckansicht 110 Kommentare lesen
Scooter-Rad mit Scheibenbremse

Hinterrad eines Xiaomi Mijia M365 mit mechanischer Scheibenbremse

Lesezeit: 2 Min.

Der E-Scooter Xiaomi M365 weist eine gefährliche Sicherheitslücke auf: Jedermann kann via Bluetooth den Tretroller zum plötzlichen Bremsen oder Beschleunigen bringen. Das ist gefährlich, weil so Stürze oder Zusammenstöße provoziert werden könnten. Möglich ist auch die dauerhafte Sperre des Geräts, was eigentlich als Diebstahlschutz gedacht ist, und sogar das Installieren anderer Firmware.

Da leicht modifizierte Versionen des Xiaomi M365 auch unter anderen Marken verkauft werden, könnten auch Scooter unter anderen Bezeichnungen betroffen sein. Das berichtet die texanische Firma Zimperium, die sich auf IT-Sicherheit bei Android und iOS spezialisiert.

Mehr Infos

techstage hat den E-Tretroller M365 getestet. Er soll bis zu 30 km weit mit bis Spitzengeschwindigkeiten von bis zu 28 km/h fahren:

Zimperium hat entdeckt, dass die zum E-Scooter passende App vom Besitzer zwar ein Passwort verlangt, dieses Passwort aber ausschließlich in der App überprüft wird. Der E-Scooter selbst überprüft nicht, ob ein Passwort eingegeben wurde. Er nimmt Bluetooth-Befehle von jedermann entgegen und führt sie ungeniert aus.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externes Video (Kaltura Inc.) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Kaltura Inc.) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Die Texaner haben Xiaomi informiert und mehrere Proof of Concepts entwickelt. Veröffentlicht wurde aber nur die Version für das Bremsen des Fahrzeugs, was Zimperium als weniger gefährlich erachtet als unerwartetes Beschleunigen. Xiaomi hat das Designproblem gegenüber Zimperium bestätigt, ein notwendiges Firmwareupdate für den Tretroller gibt es aber noch nicht.

So hat Xiaomi das Problem bestätigt. Abhilfe gibt es bislang keine.

(Bild: Zimperium)

2015 konnten Sicherheitsforscher einen Jeep Cherokee über dessen Mobilfunkverbindung kapern und fernsteuern. Fiat Chrysler musste daraufhin 1,4 Millionen Fahrzeuge für ein Update in die Werkstatt beordern. Britische Sicherheitsspezialisten warnten damals davor, dass Autos auch per Digitalradio (DAB) gehackt werden könnten. (ds)