McAfee afferma di aver trovato un difetto che consente agli hacker di aggirare il processo di verifica dell'avvio di Peloton
Photo: Scott Heins/Stringer (Getty Images)
A seguito della notizia che l'API di Peloton ha esposto i dati dell'account utente privato, afferma il team Advanced Threat Research di McAfee la Bike+ aveva un pericoloso difetto che poteva consentire agli hacker di ottenere il controllo invisibile e remoto delle biciclette.
McAfee afferma che i suoi ricercatori hanno iniziato a frugare nei sistemi di Peloton una volta che la tendenza all'allenamento a casa è decollata durante la pandemia. Nel processo, hanno scoperto che il software Bike + non stava verificando se il bootloader del dispositivo era sbloccato, consentendo loro di caricare un'immagine personalizzata che non era pensata per l'hardware Peloton. Dopo aver scaricato un pacchetto di aggiornamento ufficiale di Peloton, i ricercatori sono stati quindi in grado di modificare l'immagine di avvio effettiva di Peloton e ottenere l'accesso root al software della bici. Il processo di avvio verificato di Android non è stato in grado di rilevare che l'immagine è stata manomessa.
O più semplicemente, un hacker potrebbe utilizzare una chiavetta USB per caricare un file di immagine di avvio falso che gli concede l'accesso a una bicicletta in remoto senza che un utente lo sappia. Quell'hacker può quindi installare ed eseguire programmi, modificare file, raccogliere credenziali di accesso, intercettare il traffico Internet crittografato o spiare gli utenti attraverso la fotocamera e il microfono della bici.
Questa vulnerabilità potrebbe non sembrare così grave per gli utenti domestici, poiché richiede l'accesso fisico a Bike+ per funzionare. Tuttavia, McAfee afferma che un malintenzionato potrebbe caricare il malware in qualsiasi momento durante la costruzione, in un magazzino o nel processo di consegna. Le biciclette Peloton sono anche dispositivi popolari nelle palestre e nei centri fitness in hotel e condomini, un'area in cui l'azienda è desiderosa di espandersi. Peloton ha perso $ 420 milioni per acquisire Precor a dicembre, e una grande ragione per cui Precor ha avuto un'ampia attività commerciale rete che include hotel, campus aziendali, college e complessi di appartamenti.
Secondo quanto riferito, Peloton ha corretto il problema il 4 giugno durante la finestra di divulgazione e non ci sono indicazioni che vulnerabilità è stata sfruttata in natura. L'azienda ha anche confermato che il difetto è stato riscontrato anche sul Peloton Tread, che è stato richiamato il mese scorso insieme al Peloton Tread+.
G/O Media potrebbe ricevere una commissione
15% di sconto sul tuo primo ordineHum Nutrition Gummy SupplementsOttienilo per $ 11 da Hum Nutrition Usa il codice promozionale CODE
Questo è di solito il punto in cui ti diciamo di andare e assicurarti di avere il aggiornamento del firmware più recente. Detto questo, non è semplicissimo dire se il tuo Peloton ha l'aggiornamento più recente, soprattutto perché l'azienda non pubblicizza le note di rilascio del software. È un'omissione che Peloton dovrebbe forse correggere, considerando quanto sia diventato popolare il fitness connesso nell'ultimo anno. In casi come questi, è una buona idea abilitare gli aggiornamenti automatici, se possibile. Un'altra cosa da tenere a mente è che Peloton proibisce agli utenti di scaricare altre app, come Netflix o Spotify, sulle sue bici e tapis roulant. (Anche se ci sono modi per aggirare il problema.) Quindi, se ti capita di essere su un gruppo pubblico e ha altre app… probabilmente non dovresti usarlo.
Victoria SongPostsEmailTwitter
Reporter di tecnologia di consumo di giorno, noodle di pericolo di notte. No, non sono la star del K-Pop.