בשנתיים האחרונות הקורקינטיים החשמליים הפכו ללהיט אדיר בכבישי (ומדרכות) ישראל, והפכו לסוג של אלטרנטיבה לרכב הפרטי בתוך העיר, כאשר אחד הלהיטים הגדולים ביותר בישראל ובעולם הוא הקורקינט החשמלי של שיאומי הסינית, בעיקר הודות למחיר שלו. אך חוקר ישראלי מחברת האבטחה Zimperium מצא פירצת אבטחה מדאיגה מאוד בקורקינטים הנפוצים, שעשויה גם לסכן את חיי הרוכב.
אפשר לנעול את הקורקינט בלב צומת, או אפילו לגרום להאצה ובלימה פתאומית
החוקר הישראלי, רני אידן, לקח את דגם ה-M365, שהוא אחד הדגמים הפופולארים ביותר בעולם, והחליט לבדוק את יכולות הבלוטות׳ שלו. הקורקינט מאפשר למשתמשים להתחבר אליו אלחוטית באמצעות אפליקציה כדי לעדכן גירסאות, לצפות בנתונים, לשלוט בהגדרות שונות שלו ואפילו לנעול אותו. אידן מציין כי כל קורקינט מוגן בסיסמה שהמשתמש יכול לשנות, אך במהרה גילה כי הסיסמה לא באמת לוקחת חלק בתהליך ההזדהות אל מול הקורקינט עצמו, אלא רק אל מול האפליקציה, ובכך מותירה את הקורקינט חשוף.
בשלב הבא אידן וזימפריום יצרו אפליקציה פשוטה שסורקת את אותות הבלוטות׳ של קורקינטים של שיאומי באיזור. לאחר שההאקר בוחר את הקורקינט של הקורבן הבא בטווח של עד 100 מטרים, האפליקציה שולחת מידע אשר גורם להפעלת מנגנון הנעילה של הקורקינט. בסרטון שצירפה החברה, נראה רוכב שעומד לחצות צומת בתל אביב, כשלפתע הקורקינט ננעל והרוכב נותר מבולבל בלב המעבר. הפעם, היה מדובר ברוכב שניסה לחצות מעבר חציה בצומת מרומזר במהירות כמעט אפסית, אבל עכשיו קחו את הקונספט הזה, והפעילו אותו על קורקינט שנוסע ב-25 קמ״ש וננעל לפתע, וקיבלתם סכנת חיים של ממש.
אידן מסביר כי הפירצה יכולה להיות מנוצלת לעוד מטרות מסוכנות, כמו מתקפות שיתקינו גירסאות קושחלה זדוניות ויאפשרו שליטה מלאה על הקורקינט, ומתקפות שיאפשרו שליטה על מנגנון ההאצה והבלימה של הקורקינט.
מדאיג מכל, בזימפריום מסבירים כי כמו בכל תהליך לגיטימי של חשיפת פירצות וחולשות אבטחה, החברה פנתה קודם כל לשיאומי עם פרטי הפירצה, ובשיאומי הגיבו כי הנושא ידוע להם ״באופן פנימי״, וכי כעת הוא ידוע ״פומבית״. יתרה מכך, בשיאומי טוענים כי רכיבי הקורקינט המדוברים מיוצרים על ידי גורם צד-שלישי שלא בשליטת שיאומי, ועל כן הם לא יכולים לתקן את הפירצה בעצמם, אלא רק לנסות ולשכנע את יצרן הרכיב הבעייתי לספק להם עדכון שיחסום את הפירצה. מה שאומר שלעת עתה, הקורקינטים של שיאומי חשופים לפירצה המדוברת ויתכן ויעבור זמן מה עד שהפירצה תתוקן, אם בכלל.
עוד ב-Geektime
פייבר רוכשת פלטפורמה אמריקאית ליצירת תוכן שיווקי
ענקית התשלומים האמריקאית Stripe משתתפת בגיוס 40 מיליון דולר של Rapyd הישראלית
הפירצה עוררה דאגה כפולה, כיוון שלא רק רוכבים פרטיים עושים שימוש בקורקינטים של שיאומי, אלא שאותו דגם בדיוק נמצא בשימוש של חברות השכרת קורקינטים חשמליים כמו Bird, שמשתמשת בדגם הזה של שיאומי גם בצי הקורקינטים שלה בישראל. ב-Bird טוענים כי הפירצה ידועה לחברה במשך יותר משנה, אך היא איננה משפיעה על הקורקינטים של החברה. לרוב, חברות קורקינטים שיתופיים לוקחות דגמים קיימים של חברות, ומלבישה עליהם חומרה משלהן, זאת כדי לאפשר את איתור הקורקינט, ההתממשקות שלו אל מול מערכות החברה, ואת שאר יכולות הנעילה שלו, כך שלא מדובר בדיוק באותו המכשיר שצרכן יכול לרכוש בחנות.