Бег за здоровьем или бег от хакеров: велотренажеры Peloton следят за вами

Популярный бренд спортивного оборудования Peloton может стать не только помощником в борьбе за идеальную фигуру, но и угрозой безопасности данных. По словам исследователей из Check Point Software, в тренажерах Peloton, подключаемых к интернету, присутствуют уязвимости – потенциальные точки входа для кибератак.

Peloton известен своими стационарными велотренажерами и связанным с ними приложением. Популярность бренда резко возросла в период пандемии COVID-19. Компания также выпускает беговые дорожки Peloton Tread, работающие на базе операционной системы Android. Это устройство и стало объектом беспокойства.

Такие тренажеры, по сути, являются устройствами «Интернета вещей» (IoT). Атакующие могут проникнуть в систему через операционную систему, приложения или используя API для внедрения вредоносного ПО. Взлом Peloton Tread приведет не только к утечке личных данных пользователя, но и к атакам на корпоративные сети, вплоть до проведения вымогательских кампаний.

Специалисты Check Point Software уже обратились в Peloton с информацией о найденных проблемах. В ответ компания заявила, что для эксплуатации уязвимостей требуется физический доступ к устройству. Представители уверяют, что соблюдаются все меры безопасности для систем на базе Android.

Тем не менее, исследователи указывают на то, что Peloton Tread работает и обновляется с задержкой на три версии от текущей Android 13. Это означает, что в теории существует более 1100 уязвимостей 2022 и 2023 годов, которые могут быть использованы для взлома тренажера.

Способы взлома могут быть разнообразными, при этом они требуют значительной степени изощренности. В качестве примера команда Check Point Software приводит включение USB-отладки в операционной системе оборудования. Таким образом можно без труда получить доступ к оболочке Android. Процесс основывается на утилите adb (Android Debug Bridge), которая позволяет создавать прямую связь между устройством и компьютером, устанавливая соединение посредством USB.

Однако просто включение USB-отладки не обеспечит полного доступа к системе. Здесь вступает в действие повышение привилегий или «рутинг». С возможностями рут-доступа злоумышленник получит полный список всех установленных пакетов на устройстве, и, следовательно, более полное представление о его структуре и функциональности.

Дальнейшие шаги включают извлечение любого из приложений для анализа и/или обратного проектирования. Взломщик увидит код приложения и сможет выявить все возможные уязвимости в его структуре. Эти уязвимости, в свою очередь, будут использованы для реализации атак, таких как эксплуатация системных ресурсов, отключение служб безопасности или даже выполнение произвольного кода.

Эксперты призывают всех пользователей IoT-устройств Peloton, особенно тех, которые подключены к корпоративным сетям, устанавливать комплексные протоколы безопасности. На уровне предприятий администраторы сети должны использовать специализированные решения, которые защищают от уязвимостей.