Siguiendo la noticia de que la API de Peloton datos expuestos de la cuenta de usuario privada, El equipo de Investigación de amenazas avanzadas de McAfee dice que Bicicleta + tenía un defecto peligroso que podía permitir a los piratas informáticos hacerse con el control de las bicicletas de forma invisible y remota.
McAfee dice que sus investigadores comenzaron a hurgar en los sistemas de Peloton una vez que la tendencia de hacer ejercicio en casa despegó durante la pandemia. En el proceso, descubrieron que el software Bike + no verificaba si el cargador de arranque del dispositivo estaba desbloqueado, lo que les permitía cargar una imagen personalizada que no estaba destinada al hardware Peloton. Después de descargar un paquete de actualización oficial de Peloton, los investigadores pudieron modificar la imagen de arranque real de Peloton y obtener acceso de root al software de la bicicleta. El proceso de arranque verificado de Android no pudo detectar que la imagen había sido manipulada.
O dicho de manera más simple, un pirata informático podría usar una llave USB para cargar un archivo de imagen de arranque falso que le otorga acceso a una bicicleta de forma remota sin que el usuario lo sepa. Ese pirata informático puede instalar y ejecutar programas, modificar archivos, recopilar credenciales de inicio de sesión, interceptar el tráfico de Internet cifrado o espiar a los usuarios a través de la cámara y el micrófono de la bicicleta.
Es posible que esta vulnerabilidad no suene tan seria para los usuarios domésticos, ya que requiere acceso físico a Bike + para llevarla a cabo. Sin embargo, McAfee dice que un mal actor podría cargar el malware en cualquier momento durante la construcción, en un almacén o en el proceso de entrega. Las bicicletas Peloton también son accesorios populares en gimnasios y centros de acondicionamiento físico en hoteles y edificios de apartamentos, un área en la que la empresa desea expandirse. Peloton abandonó $ 420 millones para adquirir Precor
Según los informes, Peloton solucionó el problema el 4 de junio durante el ventana de divulgación, y no hay indicios de que la vulnerabilidad haya sido explotada en la naturaleza. La compañía también confirmó que la falla también se encontró en el Peloton Tread, que fue recordado el mes pasado junto con Peloton Tread +.
G / O Media puede obtener una comisión
Este suele ser el punto al que le decimos que vaya y se asegure de tener la actualización de firmware más reciente. Dicho esto, no es muy fácil saber si su Peloton tiene la actualización más reciente, especialmente porque la compañía no publica las notas de la versión del software. Es una omisión que Peloton tal vez debería corregir, considerando cómo el fitness conectado popular se ha convertido en el año pasado. En casos como estos, es una buena idea habilitar las actualizaciones automáticas si es posible. Otra cosa a tener en cuenta es que Peloton prohíbe a los usuarios descargar otras aplicaciones, como Netflix o Spotify, en sus bicicletas y cintas de correr. (Aunque hay formas de evitar eso.) Entonces, si alguna vez estás en un Peloton público y tiene otras aplicaciones … probablemente no deberías usarlo.
.