Įsilaužėliai turi naują sukčiavimo tikslą... ir tai - treniruokliai

Kiekvieną kartą pasirodžius naujai programai, kuri atrodo „neįmanoma“, ekspertai vis tiek ja pasinaudodami įrodo, kad esame neteisūs. Neseniai mokslininkai aptiko „Peloton“ išmaniųjų dviračių saugumo trūkumą, dėl kurio įsilaužėlis gali tave šnipinėti, kol važiuoji dviračiu.

Tad kodėl kibernetiniai nusikaltėliai puola treniruoklius? O ką tu gali padaryti?

Kaip įsilaužėliai puola treniruoklius?

„McAfee“ nuskambėjo pavojaus signalas, kai jo tyrėjai aptiko išnaudojimą „Peloton“ dviračiuose. Laimei, tyrėjams pavyko atkreipti Peloton dėmesį į tai prieš įsilaužėliams, tačiau vis dar yra tikimybė, kad kai kurie kenksmingi agentai surado ir panaudojo išnaudojimą anksčiau.

Norėdami įvykdyti ataką, įsilaužėlis pirmiausia padarė USB atmintinę su „Peloton“ įkrovos failu. Tada jie nunešė jį į dviratį, kurį norėjo nulaužti, ir prijungė, pakeisdami įkrovos failą, kad galėtų pasiekti. Dviračiai netikrina, ar nėra tokio tipo išpuolių, todėl tai suteiktų įsilaužėlių administratoriui teises į mašiną.

Turėdami šias teises, jie gali sugadinti dviratį taip, kaip jiems patinka. Šią galią jie gali naudoti norėdami surinkti asmeninę informaciją, kas naudojasi dviračiu.

„McAfee“ atskleidė šį trūkumą „Peloton“, kuris 2021 m. Birželio 4 d. Išleido savo treniruoklių pleistrą. Tačiau tai reiškia, kad jei tą dieną ar anksčiau šokote ant dviračio sporto salėje, yra maža tikimybė, kad pasirinktas dviratis buvo pažeistas.

Kokie duomenys buvo pavogti?

Gali atrodyti keista, kad įsilaužėlis važinėtų po treniruoklį, tačiau šiais laikais modeliuose yra daugybė įmantrių įtaisų ir funkcijų, kurias galima nukreipti prieš vartotojus, kad jie gautų savo informaciją.

Žinoma, įsilaužėlis nesiveržia į dviratį, todėl gali pasveikinti jus atlikus tą maratono pratimų rutiną. Jie ieško informacijos, kurią galėtų asmeniškai naudoti ar parduoti.

Suklastotų „Peloton“ programų kūrimas

Išmaniuosiuose dviračiuose, tokiuose kaip „Peloton“ mašinos, yra programėlių, kurias vairuotojai gali naudoti jiems prakaituojant. Šios programos apima populiarias internetines paslaugas, tokias kaip „Netflix“ ir „Spotify“.

Įsilaužėliai gali tai išnaudoti į dviratį įkeldami suklastotas programos versijas. Jų išvaizda yra tokia pati kaip oficialios programos, tačiau kai vartotojas įveda savo prisijungimo duomenis, jie vėl siunčiami įsilaužėliui.

Bet palaukite minutę; kodėl įsilaužėlis nori patekti į jūsų „Netflix“ ar „Spotify“ paskyrą? Juk „Spotify“ paskyrą galite susikurti nemokamai, o „Netflix“ nėra tokia brangi. Ar tikrai įsilaužėlis labai nori gauti nemokamų filmų, kuriuos nulaužė treniruoklį?

Tai gali jus nustebinti, tačiau šias sąskaitas galima parduoti juodojoje rinkoje. Kai kurie žmonės tiesiog nenori mokėti mėnesinio mokesčio už „Netflix“ ar „Spotify Premium“; jie norėtų sumokėti vienkartinį mokėjimą, kad galėtų patekti į kažkieno sąskaitą ir priversti juos sumokėti sąskaitą. Tai tik vienas iš daugelio šokiruojančios internetinės paskyros, parduodamos tamsiajame internete.

Be to, jei prieštaraujate patarimams ir naudojate tą patį vartotojo vardą ir slaptažodį keliose paskyrose, gali būti pažeistos ne tik pramogų programos.

Asmens identifikavimo informacijos rinkimas

Viskas tampa šiek tiek baisiau, kai supranti, kad „Peloton“ dviračiuose taip pat yra mikrofonas ir kamera. Įsilaužėliai gali tai naudoti norėdami šnipinėti tuos, kurie naudojasi mašina.

Be abejo, hakeriui reikalingas aktyvus ryšys su dviračiu, kad jis realiu laiku galėtų šnipinėti savo vartotoją. Tokiu atveju jie turės įdiegti užpakalinę duris, suteikiančias jiems leidimą naudotis dviračio technine įranga vartotojui nežinant.

Maža to, „McAfee“ pastebi, kad įsilaužėliai netgi gali iššifruoti „Peloton“ serveriams siunčiamus duomenis. Tai reiškia, kad kibernetinis nusikaltėlis gali surinkti visą konfidencialią informaciją, kurią renka dviratis, kad geriau suprastų, kas ją naudoja.

Kaip apsisaugoti nuo dviračių įsilaužėlių

Visa tai skamba labai siaubingai, tačiau atminkite, kad Pelotonas užtaisė šį išnaudojimą dar 2021 metų birželį. Tai reiškia, kad jūs turite galvoti apie tai, jei anksčiau naudojote „Peloton“ mašiną viešoje vietoje.

Net jei naudojate po šios datos, yra tikimybė, kad jūsų vietinė sporto salė dar neatsisiuntė naujausios dviračio programinės įrangos, vadinasi, išnaudojimas vis dar egzistuoja.

Pažvelkime į keletą būdų, kaip apsaugoti jūsų privatumą naudojant treniruoklius.

1. Pasirinkite „Dumb“ dviračius, o ne „Smart“

Jei nekenčiate dviračio, kuris jus šnipinėja ir pavagia jūsų paskyros informaciją, idėjos, kodėl gi nepasirinkus dviračio, kuris negalėtų padaryti nė vieno? Kad ir kaip prašmatniai ir stebuklingai įmonės gamina prie interneto prijungtus dviračius, prijungus prietaisą prie interneto, visada tenka nemaža dalis grėsmių.

Geriausias būdas apsaugoti savo skaitmeninį privatumą yra įsigyti ar naudoti treniruoklį, kuriame nėra mažai technologijos. Žinoma, tai reiškia, kad dviračių sportas aplink jūsų miestą yra geras pasirinkimas. Jei norite laikytis treniruoklio, vartotojui yra daug paprasto skaitmeninio ekrano arba jo nėra.

Nors gali būti, kad į bet kurį dviratį su skaitmeniniu ekranu gali būti įsilaužta, čia siekiama sumažinti informacijos kiekį, kurį įsilaužėlis gautų, jei pažeistų saugumą. Kuo mažiau informacijos pateikia ar naudoja dviratis, tuo mažiau duomenys yra įsilaužėlių.

Pavyzdžiui, dviratis su interneto kameromis, mikrofonais ir programomis kelia didžiulę privatumo riziką, jei jis bus pažeistas. Kita vertus, dviratis, kuriame pateikiama tik bendra statistika, pvz., Nuvažiuotas atstumas ir širdies ritmas, įsilaužėliams nieko vertingo neduos.

Tai taikoma ir kitoms namų programėlėms. Pavyzdžiui, ar tu tai žinojai įsilaužėliai gali pažeisti išmaniąsias lemputes iš visų dalykų? Tai rodo, kad labai nedaug išmaniųjų įrenginių yra „per maži, kad būtų galima nulaužti“; jei jis turi silpnybę, hakeris gali jį išnaudoti.

2. Atnaujinkite savo išmaniojo dviračio programinę įrangą

Jei tikrai negalite išsiskirti su savo mylimu išmaniuoju dviračiu, atėjo laikas įsitikinti, kad jo gynyba yra tinkama. Visada atnaujinkite dviračio programinę-aparatinę įrangą, nes šiame naujinime bus pataisų, kurie pašalins jo saugumo išnaudojimus ir trūkumus.

Net jei niekas kitas nenaudoja ar negali pasiekti jūsų treniruoklio, tai padarys jūsų prietaisą nuo nuotolinių atakų.

3. Nepasitikėkite visuomene randama technologija

Pamenate tikrąjį „Peloton“ dviračių atakos vektorių? Įsilaužėlis turėjo fiziškai apsilankyti treniruoklyje, kad jis galėtų prijungti USB atmintinę.

Taigi, jei namuose turite „Peloton“, mažai tikėtina, kad hakeriui pavyko panaudoti šį išnaudojimą. Tačiau sporto salėje rastos dviračių mašinos yra kita istorija.

Visada būkite pavargę naudodami išmanųjį treniruoklį viešoje vietoje. Stenkitės, kad jam nepateiktų jokios asmeninės informacijos, o jei ji turi internetinę kamerą ar mikrofoną, galbūt raskite kitą mašiną.

Šis patarimas tinka beveik kiekvienai visuomenei skirtai technologijai. Net vieši „Wi-Fi“ tinklai gali būti nusikalstamos veiklos židiniai, grobiantys prie jo prisijungiančius civilius gyventojus.

Susijęs: Įsilaužėlių būdai, kaip pavogti jūsų tapatybę, naudoja viešąjį belaidį internetą

Būkite saugūs sporto salėje

Neseniai atsiradęs „Peloton“ dviračių pažeidžiamumas atskleidė, kaip įsilaužėliai galėjo įkelti netikras programas ir susekti, kas jomis važiuoja. Visada įsitikinkite, kad išmanieji įrenginiai ir treniruokliai yra atnaujinti. Jei stumiama, visada galite pasirinkti „nebylias“ versijas.

Jei jau turite pilną išmanųjį namą, nesijaudinkite. Kol ištirsite visas jo saugumo rizikas ir kaip jų išvengti, turėtumėte būti gerai.

5 didžiausios išmaniojo namo saugumo rizikos ir kaip jų išvengti

Manote, kad jūsų išmanusis namas yra saugus vien todėl, kad galite nuotoliniu būdu užrakinti duris? Pagalvok dar kartą.

Skaitykite toliau

Apie autorių