La empresa de seguridad informática Zimperium publicó esta semana un informe en el que se explica que es posible controlar el scooter de un extraño utilizando únicamente su teléfono celular. La falla de seguridad se encuentra presente en el modelo M365 de Xiaomi, uno de los más utilizados por diferentes compañías como parte de sus programas de vehículos compartidos.

Es justamente a través del módulo bluetooth incluido en el scooter que los investigadores ingresaron al sistema, ya que descubrieron que la contraseña utilizada en la aplicación dedicada  no es validada por el scooter, sino que simplemente se utiliza para acceder al software del teléfono. Eso significa que el vehículo se encuentra abierto a cualquier conexión externa sin necesidad de autorización.

Como se puede observar en el video de prueba de concepto, sólo es necesario encontrar uno de estos modelos para acceder a través de una aplicación especialmente diseñada para ello.

Una vez en control del vehículo es posible bloquearlo e incluso instalar un nuevo firmware para obligarlo a frenar y acelerar a voluntad, lo que representa un verdadero riesgo para los usuarios. Según el reporte de Zimperium el sistema permite controlar cualquier scooter dentro de un rango de hasta cien metros.

Sorprendentemente cuando Zimperium informó a Xiaomi del inconveniente, la empresa se refirió al error como “un problema conocido internamente”. Por su parte, un representante de Bird, una de las compañías que utilizan este modelo, aseguró que los scooters que componen su flotilla no son afectados por el error, de que han estado al tanto por un año. Lime, otro prestador de servicio que utiliza el M365, eligió mantener silencio.

La moda de scooters compartidos que se ha instalado en los Estados Unidos y varias partes del mundo no ha estado libre de controversia. En Los Ángeles ambas compañías han tenido que lidiar con el vandalismo y el rechazo de la población que su sistema genera. 

Según testimonios, los usuarios no respetan las señales de tránsito o las zonas peatonales y, en caso de quedarse sin batería a mitad del trayecto o al llegar a destino, simplemente abandonan el vehículo en el lugar. 

La cuenta de Instagram Bird Graveyard (o “Cementerio de Bird”) compila algunos videos y fotos que muestran algunos de estos casos de vandalismo.