Egzersiz ekipmanınız hacklenebilir mi?
Yakın tarihli bir raporda, Check Point güvenlik uzmanları, internete bağlı egzersiz ekipmanlarında, özellikle de yaygın olarak popüler olan Peloton Koşu Bandında bulunan güvenlik açıklarıyla ilgili bilgileri ortaya çıkardı.
Bulgular, kötü niyetli aktörlerin kullanıcı veritabanlarına erişmesine izin vererek Peloton kullanıcılarının hassas verilerini ifşa edebilen bu gelişmiş egzersiz makinelerinin oluşturduğu potansiyel güvenlik tehditlerine ışık tutuyor.
Basitçe, hacklenebilir bir egzersiz ekipmanınız var.
Uzmanlar tarafından yürütülen araştırma, internete bağlı spor salonu ekipmanlarının artan yaygınlığı göz önüne alındığında, IoT cihazlarını riske atmanın tipik olmayan yollarını anlamanın önemini vurguluyor.
İnternete bağlı daha fazla cihazla, bu cihazlarla ilişkili potansiyel riskleri tanımak ve azaltmak zorunlu hale geliyor.
Rapor üç ana saldırı vektörünü vurgulamaktadır: Her biri çeşitli güvenlik açıklarını ortaya çıkaran İşletim Sistemi, Uygulamalar ve Kötü Amaçlı Yazılım.
Bu, Peloton egzersiz ekipmanının siber güvenlik haberlerinde yanlış nedenlerle ilk kez yer alması değil.
2021’de siber güvenlik firması McAfee, Peloton’un Bike+ serisinde ve Tread egzersiz ekipmanında kritik bir güvenlik açığı tespit etti.
Bu güvenlik açığı, potansiyel olarak bir saldırgana, kamerası ve mikrofonu da dahil olmak üzere cihaza tam ve tespit edilmemiş erişim sağlayabilir.
Egzersiz ekipmanı hacklenebilir mi? Son derece mümkün!
Test edilen Peloton Koşu Bandı, QT.22082.A yapı numarasına dayalı olarak Android 10 işletim sisteminde çalışır.
Bununla birlikte, mevcut en son Android sürümünün Android 13 olması, koşu bandını yalnızca 2022 ve 2023’ten itibaren 1100’den fazla güvenlik açığına karşı potansiyel olarak savunmasız bırakır.
Önemli bir endişe, kötü niyetli aktörlerin USB hata ayıklamasını etkinleştirebilmesi ve koşu bandının kabuğuna erişim sağlayarak saldırı yüzeyini artırabilmesi ve cihazı potansiyel istismara maruz bırakabilmesidir.
Peloton Koşu Bandı üzerinde çalışan uygulamaların belirli güvenlik kusurları olduğu tespit edildi.
Bazı uygulamalar, yetkisiz yazılımların cihazda çalışmasını önlemek için köklenme algılama mekanizmaları içerir, ancak bu algılamayı atlatacak teknikler keşfedildi.
Ek olarak, sabit kodlanmış hassas bilgiler ve açık metin depolamalı metinden konuşmaya ses hizmetleri güvenlik riskleri oluşturur.
Korunmasız hizmetler ayrıcalıkları artırarak kişisel verilere potansiyel olarak erişim verebilirken, yayın alıcıları koşu bandı üzerinde kötü niyetli kontrolü kolaylaştırabilir.
CheckPoint raporu, “Erişim izni verildiğinde, saldırgan koşu bandına hızla bir arka kapı kurabilir ve ağa erişim sağlayabilir” dedi.
“Bu erişimle, saldırgan yanal hareket gerçekleştirebilir, kişisel olarak tanımlanabilir bilgileri çalabilir, fidye yazılımı saldırıları başlatabilir, kurumsal kimlik bilgilerine erişebilir veya Hizmet Reddi saldırısı gerçekleştirebilir.”
Egzersiz ekipmanı için kötü amaçlı yazılım
Koşu bandının işletim sisteminde standart API’lerin bulunması, onu kötü amaçlı yazılım saldırılarına açık hale getirir.
Araştırmacılar, bir mobil uzaktan erişim aracını (MRAT) yandan yükleyerek koşu bandını başarılı bir şekilde tehlikeye attılar ve esasen onu gizlice dinleme, ses kaydetme ve coğrafi konum verilerine erişme yeteneğine sahip uzaktan kumandalı bir IoT cihazına dönüştürdüler.
Check Point raporunda, “Tehlike altındaki koşu bandının tespit edilmesi zor olduğundan, müfettişlerin saldırının kaynağı olduğundan şüphelenmesi pek olası değil” dedi.
“Güvenliği ihlal edilmiş koşu bandı keşfedilse bile, kötü niyetli aktör izlerini çoktan kapatmış ve amacına ulaşmış olabilir.”
Check Point, bu güvenlik açıklarını sorumlu bir şekilde ele almak için bulgularını Peloton’a açıkladı.
Yanıt olarak Peloton, bildirilen sorunların Android tabanlı cihazlar için beklenen güvenlik önlemlerini karşıladığını ve cihaza fiziksel erişim gerektiren senaryolarla ilgili olduğunu belirtti.
Peloton’un CheckPoint’e yaptığı açıklamada, “Bildirilen sorunları inceledik ve Android tabanlı cihazlar için beklenen güvenlik önlemlerini karşıladıklarını belirledik” dedi.
“Bu raporda dile getirilen endişeler, bir saldırganın cihaza fiziksel erişimi olmasını gerektiren senaryolarla ilgili.”
Check Point, IoT cihazlarını ortaya çıkan tehditlerden korumak için kapsamlı bir siber güvenlik stratejisi geliştirmenizi ve Quantum IoT Protect gibi çözümler kullanmanızı önerir.
Kuruluşlar, bağlı IoT cihazlarında görünürlük kazanarak ve otonom sıfır güven erişim politikaları oluşturarak potansiyel siber saldırılara karşı koruma sağlayabilir ve IoT ekosistemlerinin güvenliğini ve güvenilirliğini sağlayabilir.