## Vulnerabilidade Descoberta em Bicicletas Elétricas Yadea T5 Pesquisadores de segurança identificaram uma vulnerabilidade crítica nas Bicicletas Elétricas Yadea T5 que pode permitir que atores maliciosos roubem os veículos. A falha, CVE-2025-70994, decorre de um mecanismo de autenticação fraco que torna as bicicletas suscetíveis à falsificação de sinal. ### Detalhes Técnicos A vulnerabilidade reside no processo de autenticação do chaveiro da bicicleta. Um atacante local que intercepte transmissões legítimas do chaveiro pode falsificar sinais para destravar e ligar a bicicleta. De acordo com a Cybersecurity and Infrastructure Security Agency (CISA), a exploração bem-sucedida desta vulnerabilidade poderia resultar diretamente no roubo do veículo. O produto afetado é: * Bicicleta Elétrica Yadea T5: versões all/*  ### Pontuação CVSS e Produtos Afetados A vulnerabilidade possui uma pontuação CVSS v3 de 7.3, indicando alta severidade. A tabela a seguir resume os principais detalhes: | CVSS | Vendor | Equipamento | Vulnerabilidades | | :---- | :----- | :------------------------- | :-------------------- | | v3 7.3 | Yadea | Bicicleta Elétrica Yadea T5 | Autenticação Fraca | A Common Weakness Enumeration (CWE) associada a esta vulnerabilidade é a CWE-1390, que aborda especificamente autenticação fraca. ### Impacto * **Setores de Infraestrutura Crítica:** Sistemas de Transporte * **Países/Áreas Implantadas:** Mundialmente * **Localização da Sede da Empresa:** China ### Mitigação e Recomendações Embora nenhum patch específico ou atualização de firmware tenha sido lançado pela Yadea no momento desta publicação, a CISA recomenda que as organizações implementem estratégias de cibersegurança recomendadas para defesa proativa. Estas incluem: * Implementação de estratégias de defesa em profundidade. * Monitoramento de atividades de rede suspeitas. * Seguir procedimentos internos estabelecidos e relatar descobertas à CISA para rastreamento e correlação com outros incidentes. A CISA fornece orientações adicionais e práticas recomendadas em sua página da web sobre ICS. ### Agradecimentos Ashen Chathuranga relatou esta vulnerabilidade à MITRE e à CISA. ### Referências * [Página da web da CISA sobre ICS](https://www.cisa.gov/ics) * [CVE-2025-70994](https://www.cve.org/CVERecord?id=CVE-2025-70994) * [CWE-1390](https://cwe.mitre.org/data/definitions/1390.html)