Go Back   Carder.life > [ru] Forum for Russians > Новости мирового кардинга
Reload this Page Хакеры могли удаленно захватывать контроль над велотренажерами Peloton Bike+

CARDER.MARKET - CARDING FORUM FOR PROFESSIONAL CARDERS


Reply
 
Thread Tools Display Modes
  #1  
Old 04-08-2025, 06:05 AM
Artifact's Avatar

Artifact Artifact is offline
Administrator
Join Date: Jan 2024
Posts: 0
Default

Злоумышленники могли загружать поддельный образ загрузки, предоставляющий удаленный доступ к велотренажеру без ведома пользователя.

В велотренажерах Peloton Bike+ обнаружена опасная уязвимость, позволяющая злоумышленникам удаленно захватывать контроль над ними.
Исследователи McAfee заинтересовались тренажерами Peloton, когда спрос на них стал стремительно расти в период пандемии. В ходе исследования они обнаружили, что программное обеспечение велотренажера Bike+ не проверяет, был ли разблокирован загрузчик, тем самым позволяя злоумышленникам загружать свой образ, непредназначенный для оборудования Peloton. После загрузки официального пакета обновлений Peloton исследователям удалось модифицировать истинный образ загрузки и получить доступ к ПО велотренажера с правами суперпользователя. При этом процесс Android Verified Boot не смог установить, что образ был модифицирован.
Проще говоря, с помощью USB-ключа злоумышленники могут загрузить поддельный файл с образом загрузки, предоставляющий им удаленный доступ к велотренажеру без ведома пользователя. Затем они могут загружать и запускать приложения, модифицировать файлы, похищать учетные данные, перехватывать зашифрованный интернет-трафик и даже шпионить за пользователем через камеру и микрофон велотренажера.
Данная уязвимость не представляет большую опасность для домашних пользователей, поскольку для ее эксплуатации требуется физический доступ к велотренажеру. Однако, как пояснили исследователи, злоумышленники могут загрузить вредоносное ПО в любой момент в процессе производства устройства, на товарном складе или во время доставки. Кроме того, тренажеры Peloton часто устанавливаются в спортзалах и фитнес-центрах отелей и многоквартирных домов, где получить доступ к ним не составит труда.
Производитель выпустил исправление для уязвимости 4 июня 2021 года, уложившись в срок до публичного раскрытия уязвимости. Никаких свидетельств того, что хакеры уже эксплуатируют ее, на данный момент не обнаружено. Проблема также затрагивает велодорожки Peloton Tread, отозванные в прошлом месяце, и Peloton Tread+
Reply

Tags
NULL

« Previous Thread | Next Thread »

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is On
Smilies are On
[IMG] code is On
HTML code is On
Forum Jump




All times are GMT. The time now is 08:13 PM.

Contact Us - Carder.life - Archive - Top