Technology

Si no tienes contraseña en tu patinete Xiaomi, te lo pueden controlar a distancia e incluso bloquearlo

Publicado el

Si no tienes contraseña en tu patinete Xiaomi, te lo pueden controlar a distancia e incluso bloquearlo

Los patinetes eléctricos están cambiando la movilidad urbana, hasta tal punto que las autoridades están adaptando la legislación a estos nuevos vehículos de movilidad personal (VMP) y limitar su velocidad. Uno de los modelos que más ha contribuido a esta expansión es el Xiaomi Mi Electric Scooter y aunque no es el único, sí es de los más populares.

Además de la aplicación oficial Mi Home, existen múltiples aplicaciones de terceros compatibles que sirven para controlar otros aspectos del patinete. Una de ellas es M365 HUD y entre sus funciones está la de bloquear el patinete desde el móvil. Pero para nuestra sorpresa, hemos detectado que esta aplicación permite también bloquear el patinete de otras personas en el caso que no tengan configurada una contraseña. Un grave fallo de seguridad ya que permite de manera sencilla acceder a información de otra persona e incluso controlar su dispositivo sin su permiso.

Si nunca emparejaste el patinete con Mi Home, entonces no tienes contraseña

La mayoría de usuarios tiene un sistema de seguridad en el móvil, sea un código PIN, el desbloqueo facial o el lector de huellas. Sin embargo en los patinetes no siempre ocurre lo mismo. Al ser un producto relativamente nuevo y no contener información personal, uno no tiene la sensación de necesitar una contraseña para poder utilizarlo. Pero es un error, ya que estamos ante un dispositivo conectado y por tanto susceptible de ser accedido a distancia.

Para utilizar el patinete no es necesario sincronizarlo con el móvil. Sin embargo, uno de los primeros pasos que deberíamos hacer y la propia compañía nos indica, es instalar la aplicación oficial Mi Home. Es desde esta aplicación donde desde la primera pantalla estableceremos la contraseña que nos servirá para proteger el patinete.

Lo que ocurre es que hay muchos usuarios que no emparejaron el patinete con la aplicación Mi Home y por tanto no tienen una contraseña. Esto pasa en aquellos usuarios que simplemente han decidido no enlazarlo con el móvil. Otro caso es aquellos que compraron el patinete de segunda mano y el dispositivo ya fue enlazado al móvil de otra persona, aquí sí puede haber contraseña pero es posible que no la sepamos.

Cómo bloquear el patinete de otros a través del bluetooth

M365 Desde M365 HUD podemos controlar el patinete, establecer la velocidad y observar datos como la velocidad.

A través de una aplicación de terceros como M365 HUD, podemos llegar a controlar y ver la velocidad del patinete de otras personas. Aunque no es la única, ya que otras similares como m365 Tools o m365 Dashboard también disponen de la misma función.

¿Cómo funciona? Muy sencillo. Se trata de una aplicación para terceros donde simplemente enlazaremos con nuestro patinete para poder controlar la velocidad o ver la energía que queda. Al iniciar la aplicación nos solicita activar el bluetooth. Una vez activado podremos escanear los dispositivos cercanos. Aquí es donde encontraremos nuestro patinete, pero también el de cualquier persona que esté en el rango del bluetooth, que suele llegar hasta unos 20 metros.

Al elegir el patinete, lo primero que nos pide es introducir la contraseña del vehículo. Todo bien, salvo en aquellos patinetes donde no esté establecida ninguna contraseña. Ya que en este caso podremos conectarnos como si el patinete fuera nuestro. De la misma manera que si alguien agarra tu móvil, lo abre si no tienes contraseña, con el patinete se puede hacer algo equivalente en el caso de no haberla configurado. Hemos podido comprobarlo con nuestro patinete Xiaomi y la aplicación permite el acceso sin problemas.

Xiaomi Patinete Una función tan sencilla como bloquear el patinete, puede ser un problema si se realiza sin nuestro permiso.

Esto permite a la aplicación detectar vía bluetooth el patinete de otras personas y conectarse a él. Una vez hecho esto, sin necesidad del permiso de la otra persona, podemos acceder a los modos de uso, la velocidad, la temperatura, el kilometraje y también a la opción de bloquear el patinete.

En concreto la opción de bloquear el patinete de otros nos parecía muy peligrosa, sin embargo debemos avisar que la opción no se puede hacer con el patinete en marcha. Es decir, si pulsamos en bloquear sí funcionará, pero no frena el vehículo. Únicamente cuando se detiene es cuando el bloqueo se lleva a cabo.

Al pulsar en la opción de bloqueo lo que hace es impedir que la rueda trasera ruede con normalidad, por lo que el patinete queda inmovilizado. Esto es una opción que también está disponible desde la aplicación oficial y no debe tener más importancia, sin embargo el hecho de poder activarla desde el móvil hace que establecer una contraseña cobre relevancia.

La aplicación no requiere conexión a internet, ya que funciona completamente a través de bluetooth. En caso de querer conectarse a una persona en movimiento, es muy difícil. Los segundos que está cerca son suficientes para que aparezca en la lista, pero no para que accedamos, pongamos una contraseña y pulsemos en bloquear. En caso de querer hacerlo con desconocidos en movimiento, deberíamos movernos nosotros también para poder mantenerse dentro del rango.

Desde Xataka, y al recibir noticias y poder reproducir esta vulnerabilidad, nos pusimos en contacto con Xiaomi, que está investigando el asunto y nos darán pronto una respuesta.

Cómo añadir una contraseña al Xiaomi Mi Electric Scooter

Contrasena Desde la aplicación oficial Mi Home, podemos configurar la contraseña de nuestro vehículo.

Para configurar una contraseña en vuestro Xiaomi Mi Electric Scooter deberéis instalar la aplicación oficial Mi Home [iOS / Android] y desde allí os solicitará introducir la contraseña.

En caso que no os acordéis de vuestra contraseña o queráis eliminarla, podéis resetear el patinete pulsando a la vez durante unos segundos la palanca de freno, el botón de encendido y el acelerador.

De la misma manera que en los dispositivos móviles el uso de un PIN o un patrón de seguridad es imprescindible, en los patinetes eléctricos también debe cobrar relevancia el poner la contraseña. Pese a que esta la tengamos en el móvil y no la necesitemos con cada uso del patinete.

También te recomendamos

USB-C estrenará su propio protocolo de seguridad que nos dirá cuando un dispositivo o cargador pueden ser potencialmente dañinos

La pantalla del móvil ha ido devorando chasis y sensores, pero no ha sido fácil

Preocupación sobre ruedas: 273 accidentes con patinetes eléctricos en España en 2018, la mayoría provocados por los patinadores


La noticia Si no tienes contraseña en tu patinete Xiaomi, te lo pueden controlar a distancia e incluso bloquearlo fue publicada originalmente en Xataka por Enrique Pérez .

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *