Hver gang det kommer ut en ny innretning som virker ”uhackelig”, viser ekspertene oss feil ved å utnytte den uansett. Nylig avdekket forskere en sikkerhetsfeil i Peloton smarte sykler som kan tillate en hacker å spionere på deg mens du sykler.
Så hvorfor angriper nettkriminelle treningssykler? Og hva kan du gjøre med det?
Hvordan angriper hackere treningssykler?
McAfee slo alarm etter at forskerne fant en utnyttelse i Peloton-treningssykler. Heldigvis klarte forskerne å gjøre Peloton oppmerksom på det før hackerne gjorde det, men det er fortsatt en sjanse for at noen ondsinnede agenter fant og brukte utnyttelsen før den gang.
For å utføre angrepet skulle hackeren først lage en USB-pinne med Peloton-oppstartsfilen. De vil da ta den med til sykkelen de vil hacke og koble den til, og endre oppstartsfilen for å gi dem tilgang. Syklene sjekker ikke for denne typen angrep, så det vil gi hackeren administratorrettigheter til maskinen.
Med disse rettighetene kan de da tukle med sykkelen som de vil. De kan bruke denne kraften til å høste personlig informasjon om den som bruker sykkelen.
McAfee avslørte denne feilen til Peloton, som deretter ga ut et plaster for treningssyklene 4. juni 2021. Det betyr imidlertid at hvis du hoppet på en sykkel i et treningsstudio på eller før den datoen, er det en liten sjanse for at sykkelen du valgte hadde blitt kompromittert.
Hva slags data ble stjålet?
Det kan virke rart at en hacker vil gå etter en treningssykkel, men modeller i disse dager kommer med mange fancy gadgets og funksjoner som kan vendes mot brukere for å høste informasjonen deres.
Selvfølgelig bryter hackeren seg ikke inn på sykkelen, så de kan gratulere deg med fullførelsen av den maratonøvelsen. I stedet leter de etter informasjon som de personlig kan bruke eller selge på.
Opprette falske Peloton-apper
Smarte sykler som Pelotons maskiner har apper for dem som ryttere kan bruke når de svetter den ut. Disse appene inkluderer populære online-tjenester som Netflix og Spotify.
Hackere kan utnytte dette ved å laste opp falske versjoner av appen på sykkelen. Disse har samme utseende som den offisielle appen, men når brukeren legger inn påloggingsinformasjonen, blir de sendt tilbake til hackeren.
Men vent litt; hvorfor i all verden ønsker en hacker å komme inn på Netflix- eller Spotify-kontoen din? Tross alt kan du lage en Spotify-konto gratis, og Netflix er ikke så dyrt. Er en hacker virkelig så desperat etter å få gratis filmer som de ville hacke en treningssykkel?
Det kan overraske deg, men disse kontoene kan selges på det svarte markedet. Noen mennesker vil bare ikke betale den månedlige avgiften for Netflix eller Spotify Premium; de foretrekker heller en engangsbetaling for å få tilgang til andres konto og får dem til å betale regningen i stedet. Det er bare en av mange sjokkerende nettkontoer som selges på det mørke nettet.
I tillegg, hvis du går imot råd og bruker samme brukernavn og passord på flere kontoer, kan mer enn bare underholdningsapps bli kompromittert.
Høsting av personlig identifiserende informasjon
Ting blir litt skumlere når du innser at Peloton-sykler også har mikrofon og kamera installert. Hackere kan bruke disse til å spionere på den som bruker maskinen.
Selvfølgelig trenger hackeren en aktiv tilkobling til sykkelen for å spionere på brukeren i sanntid. Som sådan må de installere en bakdør som gir dem tillatelse til å få tilgang til sykkelens maskinvare uten at brukeren vet det.
Ikke bare det, men McAfee bemerker at hackere til og med kan dekryptere dataene som Peloton sender til serverne. Dette betyr at nettkriminelle kan høste all den konfidensielle informasjonen sykkelen samler inn for å få et bedre inntrykk av hvem som bruker den.
Hvordan beskytte deg mot sykkelhackere
Alt dette høres veldig skremmende ut, men husk at Peloton lappet denne utnyttelsen tilbake i juni 2021. Det betyr at du må tenke tilbake på hvis du brukte en Peloton-maskin på et offentlig sted før da.
Selv om du brukte en etter den datoen, er det en sjanse for at ditt lokale treningsstudio ikke har lastet ned den nyeste firmware for sykkelen ennå, noe som betyr at utnyttelsen fortsatt er til stede.
La oss sjekke ut noen måter å beskytte personvernet ditt når du bruker treningsapparater.
1. Velg "Dumme" sykler over "smarte"
Hvis du hater ideen om en sykkel som spionerer på deg og stjeler kontoinformasjonen din, hvorfor ikke velge en sykkel som ikke kan gjøre det? Så prangende og magisk som selskaper lager internett-tilkoblede sykler, har det alltid en god del trusler å koble til en enhet på nettet.
Som sådan er den beste måten å beskytte ditt digitale privatliv på å skaffe eller bruke en treningssykkel med liten eller ingen teknologi i det hele tatt. Selvfølgelig betyr dette at sykling rundt byen din er et godt alternativ. Hvis du vil holde deg med en treningsapparat, er det mange som bruker enten en enkel digital skjerm eller ingen i det hele tatt.
Selv om det er mulig at en hvilken som helst treningssykkel med digital skjerm kan knekkes inn, er målet her å minimere mengden informasjon en hacker ville fått hvis de brøt sikkerheten. Jo mindre informasjon sykkelen viser eller bruker, jo mindre nyttige er dataene for en hacker.
For eksempel utgjør en sykkel med webkameraer, mikrofoner og apper en enorm personvernrisiko hvis den er brutt. På den annen side vil en sykkel som bare forteller deg generell statistikk som tilbakelagt avstand og hjertefrekvens, gi en hacker ingenting av verdi.
Dette gjelder også for andre hjemmegods. Visste du for eksempel det hackere kan kompromittere smarte pærer av alle ting? Det viser at svært få smarte enheter er "for små til å hacke"; hvis den har en svakhet, kan en hacker utnytte den.
2. Hold den faste sykkelens firmware oppdatert
Hvis du ikke orker å dele med din elskede smarte sykkel, er det på tide å sørge for at forsvaret er oppe. Oppdater alltid sykkelens firmware, da denne oppdateringen inneholder oppdateringer som løser utnyttelser og feil i sikkerheten.
Selv om ingen andre bruker eller kan nå treningssykkelen din, vil du beskytte enheten din mot eksterne angrep ved å gjøre dette.
3. Stol ikke helt på teknologi som finnes i offentligheten
Husker du den faktiske angrepsvektoren på Peloton-syklene? Hackeren måtte besøke treningsapparatet fysisk slik at den kan plugge inn en USB-pinne.
Som sådan, hvis du har en Peloton hjemme, er det ekstremt usannsynlig at en hacker klarte å bruke denne utnyttelsen på den. Sykkelmaskinene som finnes i treningsstudioet er imidlertid en annen historie.
Vær alltid lei av å bruke en smart treningssykkel på et offentlig sted. Prøv å unngå å gi den personlige opplysninger, og hvis den har et webkamera eller en mikrofon, kan du finne en annen maskin.
Dette rådet gjelder for stort sett alle deler av offentlig vendt teknologi der ute. Selv offentlige Wi-Fi-nettverk kan være et sentralt sted for kriminell aktivitet og bytte sivile som kobler seg til det.
I slekt: Måter hackere bruker offentlig Wi-Fi for å stjele identiteten din
Å være trygg på treningsstudioet
En nylig sårbarhet i Peloton-sykler avslørte hvordan hackere kunne laste opp falske apper og spore hvem som kjørte på den. Sørg alltid for at smarte enheter og treningsapparater er oppdatert. Hvis push kommer til å skyve, kan du alltid velge "dumme" versjoner i stedet.
Hvis du allerede har et fullstendig smarthus satt opp, ikke bekymre deg. Så lenge du studerer alle sikkerhetsrisikoen og hvordan du kan unngå dem, bør du ha det bra.
Tror du at ditt smarte hjem er trygt og sikkert bare fordi du kan låse dørene dine eksternt? Tenk igjen.
Les Neste
- Sikkerhet
- Trening
- Sikkerhetsrisiko
En BSc-utdannet informatikk med en dyp lidenskap for all sikkerhet. Etter å ha jobbet i et indie-spillstudio, fant han sin lidenskap for å skrive og bestemte seg for å bruke ferdighetssettet sitt til å skrive om alt det tekniske.
Abonner på vårt nyhetsbrev
Bli med på nyhetsbrevet vårt for tekniske tips, anmeldelser, gratis e-bøker og eksklusive tilbud!
Ett steg til…!
Bekreft e-postadressen din i e-posten vi nettopp sendte deg.
