小米电动滑板车漏洞或致电子木马攻击：电池供电嵌入式系统上的勒索软件、跟踪、DoS和数据泄露问题研究

Arxiv论文网11月27日发布研究成果，称帕多瓦大学和EURECOM的研究人员对小米电动滑板车的内部安全和隐私进行了首次分析，发现了四个关键设计漏洞，包括电池管理系统（BMS）的远程代码执行、固件未签名等问题。基于这些发现，研究者开发了E-Trojans，四种新型攻击手段，包括电池勒索软件和用户跟踪攻击，这些攻击可通过恶意应用远程或无线范围内实施。这些攻击严重威胁小米电动滑板车生态系统的安全、隐私和可用性。研究者还提出了四种实用对策，以修复这些漏洞并增强系统安全性。实验结果表明，欠压电池勒索软件能在三小时内减少M365电池一半的续航能力，而用户跟踪攻击则能通过BLE泄露敏感数据。这项研究填补了电池供电嵌入式系统内部攻击面研究的空白，并提出了相应的安全改进措施。

一、研究背景

随着电池驱动的嵌入式系统（BESs）如笔记本电脑、智能手机、电动滑板车和无人机的普及，这些设备的安全和隐私问题变得尤为重要。这些系统内部包含电池管理系统（BMS）、无线通信接口和电机控制器等组件，但对这些内部攻击面的安全性研究却相对缺乏。特别是，对于远程攻击者能够通过访问BMS实现什么，目前还不清楚。这种理解的缺失主要是由于分析内部攻击面面临的挑战，因为这些组件是供应商特定的、专有的且未文档化的。为了填补这一空白，本研究对电动滑板车的内部进行了首次安全和隐私评估，特别是小米M365和ES3电动滑板车及其与Mi Home（它们的配套应用）的交互。

二、动机和威胁模型

研究动机在于BESs的复杂内部结构，包括无线电、电机和电池管理系统等子系统，以及通信总线和电池监控器等组件。对BESs内部的漏洞和攻击研究有限，且这些设备的妥协可能导致严重的安全风险，如电池损坏或引发火灾。此外，BESs通常收集敏感数据，包括用户身份和位置，因此脆弱的设备可能导致隐私泄露。

本研究的威胁模型包括两个攻击者模型：

(i) 基于邻近的攻击者，通过BLE无线与电动滑板车交互；

(ii) 远程攻击者，通过在受害者的智能手机上安装恶意应用来远程利用电动滑板车。

攻击者的目标是利用发现的架构漏洞违反电动滑板车的安全性、安全性、隐私性和可用性。

三、研究对象

本研究聚焦于小米品牌的电动滑板车，特别是M365和Mi3 (ES3)型号，这两款滑板车涵盖了2016至2024年的两代产品，并且被全球数百万人日常使用。这些用户包括拥有私人电动滑板车的人以及使用Bird和Lime等服务租赁小米电动滑板车的人。研究还涉及Mi Home，这是小米电动滑板车的配套应用，可用于Android和iOS系统。通过逆向工程，研究者们揭露了小米电动滑板车的四个设计漏洞，并基于这些发现提出了E-Trojans，四种针对BES内部的新攻击。

四、发现的四个漏洞

研究中发现的四个关键设计漏洞包括：

V1，BMS固件未加密，攻击者可以检索到明文的BCTRL固件并进行逆向工程；

V2，BMS固件未签名，攻击者可以修改固件，包括安全阈值和如何初始化BMON，并在受害者的电动滑板车上刷入修改后的BCTRL；

V3，UART总线缺乏完整性保护、加密和认证，攻击者可以通过访问UART总线（例如，通过恶意的BCTRL固件）来窃听所有UART消息，重放或伪造它们，并冒充或中间人攻击DRV和BTS；

V4，UART总线缺乏对DoS的保护，攻击者访问UART总线可以对内部（BMS、BTS和DRV）和外部（Mi Home和电池充电器）组件进行DoS攻击。

这些漏洞属于已知的漏洞类别，但在电动滑板车的背景下是新颖的，它们源于小米专有协议的设计缺陷，与特定的硬件或实现细节无关。因此，这四个漏洞影响整个小米生态系统，可能影响使用类似BCTRL和UART总线的其他小米设备。

五、漏洞利用和攻击

E-Trojans攻击利用四个主要漏洞对小米电动滑板车进行了一系列网络攻击，具体条件、过程和后果如下：

1、电池欠压勒索软件（UBR）：攻击者通过恶意固件关闭BCTRL的安全阈值检查，使电池在充电时电压低于安全下限，导致电池损坏。攻击过程中，电池会快速放电至临界欠压状态，迫使用户支付赎金以恢复正常使用。攻击结果可能导致电池寿命大幅缩短，甚至完全损坏，给用户带来经济损失。

2、用户追踪（UTI）：攻击者通过恶意固件收集滑板车内部硬件信息，包括电机序列号等，构建用户指纹，并通过BLE广播泄露。攻击过程中，用户的移动轨迹和私人数据被实时追踪和泄露，侵犯用户隐私，可能导致身份盗窃或其他安全风险。

3、电动滑板车服务拒绝（DES）：攻击者利用UART总线的漏洞，发送恶意指令使滑板车内部组件无法正常工作，如阻止电池充电、触发错误状态等。攻击结果导致滑板车无法使用，影响用户的正常出行，同时可能对滑板车内部组件造成永久性损害。