Der E-Scooter Xiaomi M365 weist eine gefährliche Sicherheitslücke auf: Jedermann kann via Bluetooth den Tretroller zum plötzlichen Bremsen oder Beschleunigen bringen. Das ist gefährlich, weil so Stürze oder Zusammenstöße provoziert werden könnten. Möglich ist auch die dauerhafte Sperre des Geräts, was eigentlich als Diebstahlschutz gedacht ist, und sogar das Installieren anderer Firmware.

Da leicht modifizierte Versionen des Xiaomi M365 auch unter anderen Marken verkauft werden, könnten auch Scooter unter anderen Bezeichnungen betroffen sein. Das berichtet die texanische Firma Zimperium, die sich auf IT-Sicherheit bei Android und iOS spezialisiert.

Zimperium hat entdeckt, dass die zum E-Scooter passende App vom Besitzer zwar ein Passwort verlangt, dieses Passwort aber ausschließlich in der App überprüft wird. Der E-Scooter selbst überprüft nicht, ob ein Passwort eingegeben wurde. Er nimmt Bluetooth-Befehle von jederman entgegen und führt sie ungeniert aus.

Das Demo-Video von Zimperium zeigt, wie ein vorbeikommender Scooter via Bluetooth fahruntauglich gemacht wird. Der Fahrer weiß nicht, wie ihm geschieht. (Quelle: Zimperium)

Die Texaner haben Xiaomi informiert und mehrere Proof of Concepts entwickelt. Veröffentlicht wurde aber nur die Version für das Bremsen des Fahrzeugs, was Zimperium als weniger gefährlich erachtet als unerwartetes Beschleunigen. Xiaomi hat das Designproblem gegenüber Zimperium bestätigt, ein notwendiges Firmwareupdate für den Tretroller gibt es aber noch nicht.

So hat Xiaomi das Problem bestätigt. Abhilfe gibt es bislang keine. (Bild: Zimperium)

2015 konnten Sicherheitsforscher einen Jeep Cherokee über dessen Mobilfunkverbindung kapern und fernsteuern. Fiat Chrysler musste daraufhin 1,4 Millionen Fahrzeuge für ein Update in die Werkstatt beordern. Britische Sicherheitsspezialisten warnten damals davor, dass Autos auch per Digitalradio (DAB) gehackt werden könnten. (ds)