У хакеров появилась новая цель для фишинга … и это велотренажеры
Каждый раз, когда выходит новый гаджет, который кажется «невзламываемым», эксперты доказывают, что мы ошибаемся, все равно пользуясь им. Недавно исследователи обнаружили брешь в безопасности в умных велосипедах Peloton, которая может позволить хакеру шпионить за вами, пока вы едете на велосипеде.
Так почему же киберпреступники атакуют велотренажеры? И что с этим делать?
Как хакеры атакуют велотренажеры?
Компания McAfee забила тревогу после того, как ее исследователи обнаружили уязвимость в велотренажерах Peloton. К счастью, исследователям удалось привлечь внимание Peloton до того, как это сделали хакеры, но все же есть вероятность, что некоторые вредоносные агенты нашли и использовали эксплойт раньше.
Для проведения атаки хакер сначала делал USB-накопитель с загрузочным файлом Peloton. Затем они отнесли его к велосипеду, который хотят взломать, и подключили его, изменив загрузочный файл, чтобы разрешить им доступ. Велосипеды не проверяют этот вид атак, поэтому хакер может получить права администратора на машину.
Обладая этими правами, они могут изменять мотоцикл по своему усмотрению. Они могут использовать эту силу для сбора личной информации о тех, кто пользуется велосипедом.
McAfee сообщила об этом недостатке компании Peloton, которая затем 4 июня 2021 года выпустила патч для своих велотренажеров. Однако это означает, что если вы запрыгнули на велосипед в тренажерном зале не позднее этой даты, есть небольшая вероятность, что вы выбор был скомпрометирован.
Какие данные были украдены?
Может показаться странным, что хакер выбрал велотренажер, но в наши дни модели поставляются с множеством причудливых гаджетов и функций, которые можно использовать против пользователей, чтобы собрать их информацию.
Конечно, хакер не взламывает байк, чтобы поздравить вас с завершением этого марафонского упражнения. Вместо этого они ищут информацию, которую могут лично использовать или продавать.
Создание поддельных приложений Peloton
На умных велосипедах, таких как машины Peloton, есть приложения для гонщиков, которые они могут использовать. Эти приложения включают популярные онлайн-сервисы, такие как Netflix и Spotify.
Хакеры могут воспользоваться этим, загрузив поддельные версии приложения на велосипед. Они выглядят так же, как официальное приложение, но когда пользователь вводит свои данные для входа, они возвращаются хакеру.
Но подождите минутку; зачем хакеру проникнуть в вашу учетную запись Netflix или Spotify? В конце концов, вы можете создать учетную запись Spotify бесплатно, а Netflix не так уж и дорог. Неужели хакер так отчаянно хочет получить бесплатные фильмы, как если бы он взломал велотренажер?
Это может вас удивить, но эти аккаунты можно продавать на черном рынке. Некоторые люди просто не хотят платить ежемесячную плату за Netflix или Spotify Premium; они предпочли бы сделать разовый платеж для доступа к чужому счету и вместо этого заставить их оплачивать счет. Это всего лишь один из многих шокирующих онлайн-аккаунтов, продаваемых в даркнете .
Кроме того, если вы пойдете против советов и будете использовать одно и то же имя пользователя и пароль для нескольких учетных записей, это может поставить под угрозу не только развлекательные приложения.
Сбор личной идентификационной информации
Все становится немного страшнее, когда вы понимаете, что на велосипедах Peloton также установлены микрофон и камера. Хакеры могут использовать их, чтобы шпионить за тем, кто использует машину.
Конечно, хакеру необходимо активное соединение с байком, чтобы шпионить за пользователем в режиме реального времени. Таким образом, им придется установить бэкдор, который дает им доступ к оборудованию велосипеда без ведома пользователя.
Более того, McAfee отмечает, что хакеры могут даже расшифровать данные, отправленные Peloton на серверы. Это означает, что киберпреступник может собрать всю конфиденциальную информацию, которую собирает велосипед, чтобы лучше понять, кто ее использует.
Как защититься от байк-хакеров
Все это звучит очень устрашающе, но помните, что Peloton исправил этот эксплойт еще в июне 2021 года. Это означает, что вам нужно вспомнить, использовали ли вы до этого машину Peloton в общественном месте.
Даже если вы использовали один после этой даты, есть вероятность, что ваш местный тренажерный зал еще не загрузил последнюю версию прошивки для велосипеда, что означает, что эксплойт все еще присутствует.
Давайте посмотрим, как защитить вашу конфиденциальность при использовании тренажеров.
1. Выбирайте "тупые" велосипеды вместо "умных".
Если вам не нравится идея о велосипеде, который шпионит за вами и крадет данные вашей учетной записи, почему бы не выбрать велосипед, который не умеет ни того, ни другого? Какими бы яркими и волшебными ни были компании, которые создают подключенные к Интернету велосипеды, подключение устройства к всемирной паутине всегда несет в себе немалую долю угроз.
Таким образом, лучший способ защитить вашу цифровую конфиденциальность – это получить или использовать велотренажер практически без каких-либо технологий. Конечно, это означает, что поездка на велосипеде по вашему городу – хороший вариант. Если вы хотите придерживаться тренажера, есть множество пользователей: либо простой цифровой дисплей, либо его вообще нет.
Хотя есть вероятность, что любой велотренажер с цифровым дисплеем можно взломать, цель здесь – свести к минимуму объем информации, которую хакер мог бы получить, если бы взломал систему безопасности. Чем меньше информации отображает или использует велосипед, тем менее полезны данные для хакера.
Например, велосипед с веб-камерами, микрофонами и приложениями представляет собой огромный риск для конфиденциальности в случае нарушения. С другой стороны, велосипед, который сообщает вам только общую статистику, такую как пройденное расстояние и ваш пульс, не даст хакеру ничего ценного.
Это касается и других домашних гаджетов. Например, знаете ли вы, что хакеры могут взломать умные лампы всего? Это говорит о том, что очень немногие интеллектуальные устройства «слишком малы для взлома»; если у него есть слабое место, хакер может им воспользоваться.
2. Регулярно обновляйте прошивку вашего умного велосипеда.
Если вы действительно не можете расстаться со своим любимым умным байком, то пора убедиться, что его защита в порядке. Всегда обновляйте прошивку вашего велосипеда, так как это обновление будет содержать исправления, исправляющие уязвимости и недостатки в его безопасности.
Даже если никто другой не использует или не может достать ваш велотренажер, это защитит ваше устройство от удаленных атак.
3. Не доверяйте полностью общественным технологиям.
Помните реальный вектор атаки мотоциклов Peloton? Хакеру пришлось физически посетить тренажер, чтобы он мог подключить USB-накопитель.
Таким образом, если у вас дома есть Peloton, маловероятно, что хакеру удалось использовать на нем этот эксплойт. Однако с велосипедными тренажерами в спортзале – совсем другое дело.
Всегда надоедать использовать умный велотренажер в общественном месте. Постарайтесь не сообщать ему какие-либо личные данные, и, если у него есть веб-камера или микрофон, возможно, найдите другое устройство.
Этот совет применим практически ко всем существующим публично доступным технологиям. Даже общедоступные сети Wi-Fi могут быть очагами преступной деятельности, нападая на подключающихся к ним гражданских лиц.
Безопасность в тренажерном зале
Недавняя уязвимость в велосипедах Peloton показала, как хакеры могут загружать поддельные приложения и отслеживать, кто на них ездит. Всегда следите за обновлением своих интеллектуальных устройств и тренажеров. Если дело доходит до дела, вы всегда можете выбрать вместо этого «тупые» версии.
Если у вас уже есть полноценный умный дом, не волнуйтесь. Если вы изучите все риски безопасности и способы их избежать, все будет в порядке.