Хакеры могли удаленно захватывать контроль над велотренажерами Peloton Bike+

Материал из Викиновостей, свободного источника новостей

16 июня 2021 года

В велотренажерах Peloton Bike+ обнаружена опасная уязвимость, позволяющая злоумышленникам удаленно захватывать контроль над ними.

Исследователи McAfee заинтересовались тренажерами Peloton, когда спрос на них стал стремительно расти в период пандемии. В ходе исследования они обнаружили, что программное обеспечение велотренажера Bike+ не проверяет, был ли разблокирован загрузчик, тем самым позволяя злоумышленникам загружать свой образ, непредназначенный для оборудования Peloton. После загрузки официального пакета обновлений Peloton исследователям удалось модифицировать истинный образ загрузки и получить доступ к ПО велотренажера с правами суперпользователя. При этом процесс Android Verified Boot не смог установить, что образ был модифицирован.

Проще говоря, с помощью USB-ключа злоумышленники могут загрузить поддельный файл с образом загрузки, предоставляющий им удаленный доступ к велотренажеру без ведома пользователя. Затем они могут загружать и запускать приложения, модифицировать файлы, похищать учетные данные, перехватывать зашифрованный интернет-трафик и даже шпионить за пользователем через камеру и микрофон велотренажера.

Данная уязвимость не представляет большую опасность для домашних пользователей, поскольку для ее эксплуатации требуется физический доступ к велотренажеру. Однако, как пояснили исследователи, злоумышленники могут загрузить вредоносное ПО в любой момент в процессе производства устройства, на товарном складе или во время доставки. Кроме того, тренажеры Peloton часто устанавливаются в спортзалах и фитнес-центрах отелей и многоквартирных домов, где получить доступ к ним не составит труда.

Производитель выпустил исправление для уязвимости 4 июня 2021 года, уложившись в срок до публичного раскрытия уязвимости. Никаких свидетельств того, что хакеры уже эксплуатируют ее, на данный момент не обнаружено. Проблема также затрагивает велодорожки Peloton Tread, отозванные в прошлом месяце, и Peloton Tread+.

Источники[править]

Эта статья загружена автоматически ботом NewsBots и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии[править]

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.