Хакеры могли удаленно захватывать контроль над велотренажерами Peloton Bike+

Хакеры могли удаленно захватывать контроль над велотренажерами Peloton Bike+

Злоумышленники могли загружать поддельный образ загрузки, предоставляющий удаленный доступ к велотренажеру без ведома пользователя.

image

В велотренажерах Peloton Bike+ обнаружена опасная уязвимость, позволяющая злоумышленникам удаленно захватывать контроль над ними.

Исследователи McAfee заинтересовались тренажерами Peloton, когда спрос на них стал стремительно расти в период пандемии. В ходе исследования они обнаружили, что программное обеспечение велотренажера Bike+ не проверяет, был ли разблокирован загрузчик, тем самым позволяя злоумышленникам загружать свой образ, непредназначенный для оборудования Peloton. После загрузки официального пакета обновлений Peloton исследователям удалось модифицировать истинный образ загрузки и получить доступ к ПО велотренажера с правами суперпользователя. При этом процесс Android Verified Boot не смог установить, что образ был модифицирован.

Проще говоря, с помощью USB-ключа злоумышленники могут загрузить поддельный файл с образом загрузки, предоставляющий им удаленный доступ к велотренажеру без ведома пользователя. Затем они могут загружать и запускать приложения, модифицировать файлы, похищать учетные данные, перехватывать зашифрованный интернет-трафик и даже шпионить за пользователем через камеру и микрофон велотренажера.

Данная уязвимость не представляет большую опасность для домашних пользователей, поскольку для ее эксплуатации требуется физический доступ к велотренажеру. Однако, как пояснили исследователи, злоумышленники могут загрузить вредоносное ПО в любой момент в процессе производства устройства, на товарном складе или во время доставки. Кроме того, тренажеры Peloton часто устанавливаются в спортзалах и фитнес-центрах отелей и многоквартирных домов, где получить доступ к ним не составит труда.

Производитель выпустил исправление для уязвимости 4 июня 2021 года, уложившись в срок до публичного раскрытия уязвимости. Никаких свидетельств того, что хакеры уже эксплуатируют ее, на данный момент не обнаружено. Проблема также затрагивает велодорожки Peloton Tread, отозванные в прошлом месяце, и Peloton Tread+.

на нашем Телеграм канале мы рассказываем о самых актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру.