Hackers têm um novo alvo para phishing … e são bicicletas ergométricas
Cada vez que é lançado um novo gadget que parece "impossível de hackear", os especialistas provam que estamos errados tirando proveito dele de qualquer maneira. Recentemente, pesquisadores descobriram uma falha de segurança nas bicicletas inteligentes Peloton que poderia permitir que um hacker espionasse você enquanto você pedalava.
Então, por que os cibercriminosos estão atacando bicicletas ergométricas? E o que você pode fazer a respeito?
Como os hackers estão atacando as bicicletas ergométricas?
A McAfee deu o alarme depois que seus pesquisadores localizaram um exploit nas bicicletas ergométricas Peloton. Felizmente, os pesquisadores conseguiram chamar a atenção do Peloton antes dos hackers, mas ainda há uma chance de que alguns agentes maliciosos tenham encontrado e usado o exploit antes disso.
Para realizar o ataque, o hacker primeiro faria um stick USB com o arquivo de inicialização do Peloton nele. Eles então o levariam para a bicicleta que desejam hackear e conectariam, modificando o arquivo de inicialização para permitir o acesso. As bicicletas não verificam esse tipo de ataque, então isso daria ao hacker direitos de administrador para a máquina.
Com esses direitos, eles podem adulterar a bicicleta como quiserem. Eles podem usar esse poder para coletar as informações pessoais de quem usa a bicicleta.
A McAfee revelou essa falha ao Peloton, que lançou um patch para suas bicicletas ergométricas em 4 de junho de 2021. No entanto, isso significa que se você subiu em uma bicicleta em uma academia nessa data ou antes, há uma pequena chance de que você A escolha foi comprometida.
Que tipo de dados foram roubados?
Pode parecer estranho que um hacker vá atrás de uma bicicleta ergométrica, mas os modelos atuais vêm com muitos dispositivos e recursos sofisticados que podem ser usados contra os usuários para coletar suas informações.
Obviamente, o hacker não está arrombando a bicicleta para que possa parabenizá-lo por completar aquela rotina de exercícios de maratona. Em vez disso, procuram informações que possam usar ou vender pessoalmente.
Criação de aplicativos Fake Peloton
Bicicletas inteligentes como as máquinas da Peloton têm aplicativos para os pilotos usarem enquanto se esforçam. Esses aplicativos incluem serviços online populares como Netflix e Spotify.
Os hackers podem explorar isso enviando versões falsas do aplicativo para a bicicleta. Eles têm a mesma aparência do aplicativo oficial, mas quando o usuário insere seus detalhes de login, eles são enviados de volta ao hacker.
Mas espere um minuto; por que diabos um hacker quer entrar em sua conta Netflix ou Spotify? Afinal, você pode fazer uma conta no Spotify de graça, e a Netflix não é tão cara. Um hacker está realmente tão desesperado para obter filmes de graça que invadiria uma bicicleta ergométrica?
Pode surpreendê-lo, mas essas contas podem vender no mercado negro. Algumas pessoas simplesmente não querem pagar a taxa mensal do Netflix ou Spotify Premium; eles preferem fazer um pagamento único para acessar a conta de outra pessoa e fazê-los pagar a conta. É apenas uma das muitas contas online chocantes vendidas na dark web .
Além disso, se você for contra o conselho e usar o mesmo nome de usuário e senha em várias contas, mais do que apenas aplicativos de entretenimento podem ser comprometidos.
Coleta de informações de identificação pessoal
As coisas ficam um pouco mais assustadoras quando você percebe que as bicicletas Peloton também têm um microfone e uma câmera instalados nelas. Os hackers podem usá-los para espionar quem está usando a máquina.
Claro, o hacker precisa de uma conexão ativa com a bicicleta para espionar seu usuário em tempo real. Como tal, eles terão que instalar uma porta dos fundos que lhes dê permissão para acessar o hardware da bicicleta sem que o usuário saiba.
Não apenas isso, mas a McAfee observa que os hackers podem até mesmo descriptografar os dados enviados pelo Peloton aos servidores. Isso significa que o cibercriminoso pode colher todas as informações confidenciais que a bicicleta coleta para ter uma ideia melhor de quem a está usando.
Como se proteger de hackers de bicicleta
Isso tudo parece muito assustador, mas lembre-se, Peloton corrigiu esse exploit em junho de 2021. Isso significa que você precisa pensar se você usou uma máquina Peloton em um local público antes disso.
Mesmo que você tenha usado um depois dessa data, há uma chance de que sua academia local ainda não tenha baixado o firmware mais recente para a bicicleta, o que significa que o exploit ainda está presente.
Vamos verificar algumas maneiras de proteger sua privacidade ao usar aparelhos de ginástica.
1. Opte por bicicletas "burras" em vez de "inteligentes"
Se você odeia a ideia de uma bicicleta que o espia e rouba as informações de sua conta, por que não optar por uma bicicleta que não faz nada disso? Por mais espalhafatosas e mágicas que as empresas tornem as bicicletas conectadas à Internet, conectar um dispositivo à rede mundial de computadores sempre acarreta seu quinhão de ameaças.
Dessa forma, a melhor maneira de proteger sua privacidade digital é obter ou usar uma bicicleta ergométrica com pouca ou nenhuma tecnologia. Claro, isso significa que andar de bicicleta pela cidade é uma boa opção. Se você quiser ficar com uma máquina de exercícios, há muitos que usam um display digital simples ou nenhum.
Embora seja possível que qualquer bicicleta ergométrica com display digital possa ser invadida, o objetivo aqui é minimizar a quantidade de informações que um hacker obteria se violasse a segurança. Quanto menos informações a bicicleta exibe ou usa, menos úteis os dados são para um hacker.
Por exemplo, uma bicicleta com webcams, microfones e aplicativos representa um grande risco de privacidade se for violada. Por outro lado, uma bicicleta que apenas informa estatísticas gerais, como distância percorrida e sua frequência cardíaca, não dará a um hacker nada de valor.
Isso também se aplica a outros gadgets domésticos. Por exemplo, você sabia que os hackers podem comprometer lâmpadas inteligentes de todas as coisas? Isso mostra que muito poucos dispositivos inteligentes são "pequenos demais para hackear"; se tiver um ponto fraco, um hacker pode explorá-lo.
2. Mantenha o firmware da sua bicicleta inteligente atualizado
Se você realmente não consegue suportar a ideia de se desfazer de sua amada bicicleta inteligente, então é hora de certificar-se de que suas defesas estejam altas. Sempre atualize o firmware da sua bicicleta, pois essa atualização conterá patches que corrigem exploits e falhas em sua segurança.
Mesmo que ninguém mais use ou possa alcançar sua bicicleta ergométrica, isso protegerá seu dispositivo de ataques remotos.
3. Não confie totalmente na tecnologia encontrada no público
Lembra-se do vetor de ataque real nas bicicletas Peloton? O hacker teve que visitar fisicamente a máquina de exercícios para poder conectar um pen drive.
Assim, se você tem um Peloton em casa, é extremamente improvável que um hacker tenha conseguido usar esse exploit nele. No entanto, as máquinas de bicicletas encontradas no ginásio são uma história diferente.
Esteja sempre cansado de usar uma bicicleta ergométrica inteligente em um local público. Tente evitar fornecer quaisquer dados pessoais e, se tiver uma webcam ou microfone, encontre outra máquina.
Este conselho se aplica a praticamente todas as tecnologias voltadas para o público. Até mesmo redes públicas de Wi-Fi podem ser hotspots para atividades criminosas, atacando civis que se conectam a elas.
Ficar seguro na academia
Uma vulnerabilidade recente nas bicicletas Peloton revelou como os hackers podiam fazer upload de aplicativos falsos e rastrear quem os estava pilotando. Certifique-se sempre de que seus dispositivos inteligentes e aparelhos de exercícios estejam atualizados. Se a situação for difícil, você sempre pode optar pelas versões "burras".
Se você já tem uma casa inteligente totalmente configurada, não se preocupe. Contanto que você estude todos os seus riscos de segurança e como evitá-los, você estará bem.
