Varje gång det kommer ut en ny pryl som verkar “ohackbar” bevisar experterna att vi har fel genom att ändå dra nytta av den. Nyligen upptäckte forskare ett säkerhetsbrist i Peloton smarta cyklar som kan tillåta en hackare att spionera på dig medan du cyklar.
Så varför attackerar cyberkriminella motionscyklar? Och vad kan du göra åt det?
Hur attackerar hackare träningscyklar?
McAfee slog larm efter att dess forskare hittade en exploatering i Peloton motionscyklar. Lyckligtvis lyckades forskarna få Pelotons kännedom om det innan hackarna gjorde det, men det finns fortfarande en chans att några skadliga agenter hittade och använde exploateringen innan dess.
För att utföra attacken skulle hackaren först göra ett USB-minne med Pelotons startfil på. De skulle sedan ta den till cykeln de vill hacka och koppla in den, modifiera startfilen för att ge dem åtkomst. Cyklarna letar inte efter denna typ av attack, så det skulle ge hackaren administratörsrättigheter till maskinen.
Med dessa rättigheter kan de sedan manipulera cykeln som de vill. De kan använda denna makt för att samla in personlig information om den som använder cykeln.
McAfee avslöjade detta fel för Peloton, som sedan släppte en patch för sina träningscyklar den 4 juni 2021. Det betyder dock att om du hoppade på en cykel i ett gym på eller före det datumet, är det en liten chans att cykeln du valde hade äventyrats.
Vilken typ av data stals?
Det kan tyckas konstigt att en hackare skulle gå efter en motionscykel, men modeller i dessa dagar kommer med många snygga prylar och funktioner som kan vändas mot användare för att skörda deras information.
Naturligtvis bryter inte hackaren sig in i cykeln så de kan gratulera dig till att du har slutfört den där maratonövningsrutinen. Istället letar de efter information som de personligen kan använda eller sälja vidare.
Skapa falska Peloton-appar
Smarta cyklar som Pelotons maskiner har appar på dem som ryttare kan använda när de svettas ut. Dessa appar inkluderar populära onlinetjänster som Netflix och Spotify.
Hackare kan utnyttja detta genom att ladda upp falska versioner av appen på cykeln. Dessa har samma utseende som den officiella appen, men när användaren anger sina inloggningsuppgifter skickas de tillbaka till hackaren.
Men vänta lite; varför i hela friden vill en hackare komma in på ditt Netflix- eller Spotify-konto? När allt kommer omkring kan du skapa ett Spotify-konto för free, och Netflix är inte så dyrt. Är en hacker verkligen så desperat att få free filmer som de skulle hacka en motionscykel?
Det kan förvåna dig, men dessa konton kan sälja på den svarta marknaden. Vissa människor vill helt enkelt inte betala månadsavgiften för Netflix eller Spotify Premium; de gör hellre en engångsbetalning för att få tillgång till någon annans konto och får dem att stå för notan istället. Det är bara ett av många chockerande onlinekonton som säljs på den mörka webben.
Plus, om du går emot råd och använder samma användarnamn och lösenord på flera konton, kan mer än bara underhållningsappar äventyras.
Skörda personlig identifieringsinformation
Saker och ting blir lite läskigare när du inser att Peloton-cyklar också har en mikrofon och kamera installerad på sig. Hackare kan använda dessa för att spionera på den som använder maskinen.
Naturligtvis behöver hackaren en aktiv anslutning till cykeln för att spionera på sin användare i realtid. Som sådan måste de installera en bakdörr som ger dem tillstånd att komma åt cykelns hårdvara utan att användaren vet.
Inte bara det, utan McAfee noterar att hackare till och med kan dekryptera data som skickas av Peloton till servrarna. Detta innebär att cyberbrottslingen kan samla all konfidentiell information som cykeln samlar in för att få en bättre uppfattning om vem som använder den.
Hur du skyddar dig från cykelhackers
Allt det här låter väldigt skrämmande, men kom ihåg att Peloton patchade denna exploatering redan i juni 2021. Det betyder att du måste tänka tillbaka på om du använde en Peloton-maskin på en offentlig plats innan dess.
Även om du använde en efter det datumet, finns det en chans att ditt lokala gym inte har laddat ner den senaste firmwaren för cykeln ännu, vilket betyder att utnyttjandet fortfarande är närvarande.
Låt oss kolla in några sätt att skydda din integritet när du använder träningsmaskiner.
1. Välj “dumma” cyklar framför “smarta”.
Om du hatar tanken på en cykel som spionerar på dig och stjäl din kontoinformation, varför inte välja en cykel som inte kan göra något av det? Lika flashiga och magiska som företag gör internetanslutna cyklar att vara, att ansluta en enhet till World Wide Web medför alltid sin beskärda del av hot.
Som sådan är det bästa sättet att skydda din digitala integritet att skaffa eller använda en motionscykel med lite eller ingen teknik alls. Naturligtvis betyder det att cykling runt din stad är ett bra alternativ. Om du vill hålla fast vid en träningsmaskin finns det många som använder antingen en enkel digital display eller ingen alls.
Även om det är möjligt att vilken motionscykel som helst med en digital display kan knäckas in, är målet här att minimera mängden information som en hackare skulle få om de bryter mot säkerheten. Ju mindre information cykeln visar eller använder, desto mindre användbar är data för en hackare.
Till exempel utgör en cykel med webbkameror, mikrofoner och appar en enorm integritetsrisk om den bryts. Å andra sidan, en cykel som bara berättar generell statistik som tillryggalagd sträcka och din puls kommer att ge en hacker inget av värde.
Detta gäller även för andra hemprylar. Visste du till exempel att hackare kan kompromissa med smarta glödlampor av alla saker? Det visar att väldigt få smarta enheter är “för små för att hacka”; om den har en svaghet kan en hackare utnyttja den.
2. Håll din Smart Bikes firmware uppdaterad
Om du verkligen inte orkar skiljas från din älskade smarta cykel, då är det dags att se till att dess försvar är uppe. Uppdatera alltid din cykels firmware, eftersom dessa uppdateringar kommer att innehålla patchar som fixar utnyttjande och brister i dess säkerhet.
Även om ingen annan använder eller kan nå din motionscykel, kommer detta att skydda din enhet från fjärrangrepp.
3. Lita inte helt på teknik som finns i allmänheten
Kommer du ihåg själva attackvektorn på Peloton-cyklarna? Hackaren var tvungen att besöka träningsmaskinen fysiskt så att den kunde koppla in ett USB-minne.
Som sådan, om du har en Peloton hemma, är det extremt osannolikt att en hackare lyckades använda detta utnyttjande på den. Cykelmaskinerna som finns i gymmet är dock en annan historia.
Var alltid trött på att använda en smart motionscykel på en offentlig plats. Försök att undvika att ge den några personliga detaljer, och om den har en webbkamera eller mikrofon, kanske hitta en annan maskin.
Det här rådet gäller i stort sett varje del av allmänt vändande teknik där ute. Till och med offentliga Wi-Fi-nätverk kan vara hotspots för kriminella aktiviteter, som förgriper sig på civila som ansluter till det.
Håll dig säker på gymmet
En nyligen utsatt sårbarhet i Peloton-cyklar avslöjade hur hackare kunde ladda upp falska appar och spåra vem som körde den. Se alltid till att dina smarta enheter och träningsmaskiner är uppdaterade. Om push kommer att knuffa kan du alltid välja de “dumma” versionerna istället.
Oroa dig inte om du redan har ett komplett smart hem. Så länge du studerar alla dess säkerhetsrisker och hur du undviker dem, borde du vara okej.
Om författaren
Simon Batt (719 publicerade artiklar)
En kandidatexamen i datavetenskap med en djup passion för allt som rör säkerhet. Efter att ha arbetat för en indiespelsstudio fann han sin passion för att skriva och bestämde sig för att använda sina färdigheter för att skriva om allt som rör teknik.
Mer från Simon Batt
Prenumerera på vårt nyhetsbrev
Gå med i vårt nyhetsbrev för tekniska tips, recensioner, free e-böcker och exklusiva erbjudanden!
Klicka här för att prenumerera
