Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Хакеры могли удаленно захватывать контроль над велотренажерами Peloton Bike+ (http://txgate.io:443/showthread.php?t=14611)

Artifact 04-08-2025 06:05 AM

Злоумышленники могли загружать поддельный образ загрузки, предоставляющий удаленный доступ к велотренажеру без ведома пользователя.
https://www.securitylab.ru/upload/ib...138012e0eb.jpg
В велотренажерах Peloton Bike+ обнаружена опасная уязвимость, позволяющая злоумышленникам удаленно захватывать контроль над ними.
Исследователи McAfee заинтересовались тренажерами Peloton, когда спрос на них стал стремительно расти в период пандемии. В ходе исследования они обнаружили, что программное обеспечение велотренажера Bike+ не проверяет, был ли разблокирован загрузчик, тем самым позволяя злоумышленникам загружать свой образ, непредназначенный для оборудования Peloton. После загрузки официального пакета обновлений Peloton исследователям удалось модифицировать истинный образ загрузки и получить доступ к ПО велотренажера с правами суперпользователя. При этом процесс Android Verified Boot не смог установить, что образ был модифицирован.
Проще говоря, с помощью USB-ключа злоумышленники могут загрузить поддельный файл с образом загрузки, предоставляющий им удаленный доступ к велотренажеру без ведома пользователя. Затем они могут загружать и запускать приложения, модифицировать файлы, похищать учетные данные, перехватывать зашифрованный интернет-трафик и даже шпионить за пользователем через камеру и микрофон велотренажера.
Данная уязвимость не представляет большую опасность для домашних пользователей, поскольку для ее эксплуатации требуется физический доступ к велотренажеру. Однако, как пояснили исследователи, злоумышленники могут загрузить вредоносное ПО в любой момент в процессе производства устройства, на товарном складе или во время доставки. Кроме того, тренажеры Peloton часто устанавливаются в спортзалах и фитнес-центрах отелей и многоквартирных домов, где получить доступ к ним не составит труда.
Производитель выпустил исправление для уязвимости 4 июня 2021 года, уложившись в срок до публичного раскрытия уязвимости. Никаких свидетельств того, что хакеры уже эксплуатируют ее, на данный момент не обнаружено. Проблема также затрагивает велодорожки Peloton Tread, отозванные в прошлом месяце, и Peloton Tread+


All times are GMT. The time now is 07:30 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.