Всеки път, когато излезе нова джаджа, която изглежда „непробиваема“, експертите ни доказват, че грешим, като се възползваме от нея така или иначе. Наскоро изследователите откриха недостатък в сигурността на интелигентните велосипеди Peloton, който може да позволи на хакер да ви шпионира, докато карате.
И така, защо киберпрестъпниците атакуват велоергометри? И какво можете да направите по въпроса?
Как хакерите атакуват велоергометри?
Макафи алармира, след като изследователите му откриха експлойт в велоергометри Peloton. За щастие изследователите успяха да го обърнат на вниманието на Peloton преди хакерите, но все пак има шанс някои злонамерени агенти да намерят и използват експлоата преди това.
За да извърши атаката, хакерът първо би направил USB стик с файла за зареждане на Peloton. След това щяха да го занесат на велосипеда, който искат да хакнат, и да го включат, модифицирайки файла за зареждане, за да им позволи достъп. Моторите не проверяват за този вид атака, така че това ще даде администраторски права на хакера за машината.
С тези права след това те могат да подправят мотора, както им харесва. Те могат да използват тази сила, за да съберат личната информация на всеки, който използва мотора.
McAfee разкри този недостатък на Peloton, който след това пусна пластир за своите велоергометри на 4 юни 2021 г. Това обаче означава, че ако сте се качили на мотор във фитнес зала на или преди тази дата, има малък шанс избраният от вас мотор да бъде компрометиран.
Какъв вид данни е откраднат?
Може да изглежда странно, че хакер би се насочил към велоергометър, но моделите в наши дни идват с много изискани джаджи и функции, които могат да бъдат обърнати срещу потребителите, за да събират информацията си.
Разбира се, хакерът не прониква в мотора, за да могат да ви поздравят, че сте изпълнили тази рутинна тренировка за маратон. Вместо това те търсят информация, която могат лично да използват или да продават.
Създаване на фалшиви приложения Peloton
Умните мотоциклети като машините на Peloton имат приложения за тях, които мотоциклетистите могат да използват, докато ги изпотяват. Тези приложения включват популярни онлайн услуги като Netflix и Spotify.
Хакерите могат да използват това, като качат фалшиви версии на приложението върху мотора. Те имат същия вид като официалното приложение, но когато потребителят въведе данните си за вход, те биват изпратени обратно към хакера.
Но изчакайте малко; защо хакер иска да влезе във вашия акаунт в Netflix или Spotify? В края на краищата можете да направите акаунт в Spotify безплатно и Netflix не е толкова скъп. Наистина ли е хакер, който отчаяно иска да вземе безплатни филми, за които би хакнал велоергометър?
Може да ви изненада, но тези акаунти могат да се продават на черния пазар. Някои хора просто не искат да плащат месечната такса за Netflix или Spotify Premium; те предпочитат да направят еднократно плащане за достъп до чужда сметка и вместо това да ги накарат да платят сметката. Това е само едно от многото шокиращи онлайн акаунти, продавани в тъмната мрежа.
Освен това, ако се противопоставяте на съветите и използвате едно и също потребителско име и парола за множество акаунти, може да се компрометират не само приложенията за забавление.
Събиране на лична идентификационна информация
Нещата стават малко по-страшни, когато осъзнаете, че мотоциклетите Peloton също имат инсталиран микрофон и камера. Хакерите могат да ги използват, за да шпионират кой използва машината.
Разбира се, хакерът се нуждае от активна връзка с мотора, за да шпионира потребителя си в реално време. Като такива ще трябва да инсталират задна врата, която им дава разрешение за достъп до хардуера на велосипеда, без потребителят да знае.
Не само това, но McAfee отбелязва, че хакерите могат дори да дешифрират данните, изпратени от Peloton до сървърите. Това означава, че киберпрестъпникът може да събере цялата поверителна информация, която велосипедът събира, за да получи по-добра представа за това кой го използва.
Как да се предпазите от велосипедни хакери
Всичко това звучи много ужасяващо, но не забравяйте, Пелотон закърпи този подвиг още през юни 2021 година. Това означава, че трябва да се сетите дали сте използвали машина Peloton на обществено място преди това.
Дори ако сте използвали такъв след тази дата, има вероятност местната фитнес зала да не е изтеглила най-новия фърмуер за мотоциклета, което означава, че експлойтът все още е налице.
Нека разгледаме някои начини за защита на поверителността ви при използване на тренировъчни машини.
1. Изберете „тъпи“ велосипеди пред „умни“
Ако мразите идеята за мотор, който ви шпионира и краде информация за акаунта ви, защо да не изберете велосипед, който не може да направи нито едното, нито другото? Колкото и блестящи и вълшебни да са компаниите, които правят интернет свързани велосипеди, свързването на устройство към световната мрежа винаги носи своя справедлив дял от заплахи.
Като такъв, най-добрият начин да защитите вашата цифрова поверителност е да вземете или използвате велоергометър с малко или никаква технология. Разбира се, това означава, че колоезденето около вашия град е добър вариант. Ако искате да се придържате към тренировъчна машина, има много потребители, които са обикновен цифров дисплей или никакъв.
Въпреки че е възможно всеки велоергометър с цифров дисплей да бъде взломан, целта тук е да се сведе до минимум количеството информация, която би получил хакер, ако наруши сигурността. Колкото по-малко информация показва или използва велосипедът, толкова по-малко полезни са данните за хакера.
Например, велосипед с уеб камери, микрофони и приложения представлява огромен риск за поверителността, ако е нарушен. От друга страна, мотоциклет, който ви казва само общи статистически данни като изминато разстояние и пулсът ви, няма да даде на хакера нищо ценно.
Това важи и за други домашни джаджи. Например, знаехте ли това хакерите могат да компрометират интелигентните крушки на всички неща? Това показва, че много малко интелигентни устройства са „твърде малки за хакване“; ако има слабост, хакер може да го използва.
2. Постоянно актуализирайте фърмуера на вашия Smart Bike
Ако наистина не понасяте да се разделите с любимия си интелигентен мотор, е време да се уверите, че защитата му е вдигната. Винаги актуализирайте фърмуера на вашия велосипед, тъй като тези актуализации ще съдържат кръпки, които коригират експлойти и недостатъци в сигурността му.
Дори ако никой друг не използва или не може да достигне вашия велоергометър, това ще предпази устройството ви от отдалечени атаки.
3. Не се доверявайте изцяло на технологиите, открити в обществеността
Спомняте ли си действителния вектор за атака на велосипедите Peloton? Хакерът трябваше да посети физическата машина физически, за да може да включи USB стик.
Като такъв, ако имате Peloton у дома, е изключително малко вероятно хакер да е успял да използва този експлойт върху него. Намерените във фитнеса велосипедни машини обаче са съвсем друга история.
Винаги се уморявайте да използвате интелигентен велоергометър на обществено място. Опитайте се да избягвате да му давате лични данни и ако има уеб камера или микрофон, може да намерите друга машина.
Този съвет се отнася за почти всяка част от публичната технология. Дори обществените Wi-Fi мрежи могат да бъдат горещи точки за престъпна дейност, преследвайки цивилни, които се свързват с нея.
Свързани: Начини хакерите използват обществен Wi-Fi, за да откраднат вашата самоличност
Да останеш в безопасност във фитнеса
Неотдавнашната уязвимост на велосипедите Peloton разкри как хакерите могат да качват фалшиви приложения и да проследяват кой я кара. Винаги се уверявайте, че вашите интелигентни устройства и упражнения са актуализирани. Ако натиснете, за да натиснете, винаги можете да изберете "тъпи" версии.
Ако вече сте настроили пълен интелигентен дом, не се притеснявайте. Докато проучвате всички негови рискове за сигурността и как да ги избегнете, трябва да сте добре.
Мислите ли, че вашият интелигентен дом е безопасен и сигурен само защото можете дистанционно да заключите вратите си? Помисли отново.
Прочетете Напред
- Сигурност
- Упражнение
- Рискове за сигурността
Завършил бакалавър по компютърни науки с дълбока страст към сигурността на всички неща. След като работи за студио за независими игри, той открива страстта си към писането и решава да използва набора си от умения, за да пише за всички технически неща.
Абонирайте се за нашия бюлетин
Присъединете се към нашия бюлетин за технически съвети, рецензии, безплатни електронни книги и ексклузивни оферти!
Още една стъпка…!
Моля, потвърдете имейл адреса си в имейла, който току-що ви изпратихме.