Σφάλμα επιτρέπει σε hackers να πάρουν τον πλήρη έλεγχο

On

Ιούν 16, 2021

Το δημοφιλές

ποδήλατο

γυμναστικής

Peloton Bike +

και ο διάδρομος

Peloton Tread

περιέχουν ένα

σφάλμα

που θα μπορούσε να επιτρέψει σε

εγκληματίες

του κυβερνοχώρου να επιτεθούν σε

χρήστες

των μηχανημάτων (από

κλοπή credentials

έως κρυφή βιντεοσκόπηση).

peloton bike min - Σφάλμα επιτρέπει σε hackers να πάρουν τον πλήρη έλεγχο

Σύμφωνα με

έρευνα της ομάδας Advanced Threat Research

(ATR) της

McAfee

, το

σφάλμα

επιτρέπει σε έναν hacker να αποκτήσει απομακρυσμένη πρόσβαση root στο “tablet” της Peloton

. Το tablet είναι η

οθόνη αφής

που είναι εγκατεστημένη στα όργανα γυμναστικής για την παροχή διαδραστικού περιεχομένου και για streaming (π.χ. για καθοδήγηση στην προπόνηση κλπ).

Δείτε επίσης

: NSW Health: Παραβίαση δεδομένων μέσω ευπάθειας σε

σύστημα

της Accellion

Από εκεί, ένας hacker θα μπορούσε να

εγκαταστήσει κακόβουλο λογισμικό

, να

παρακολουθεί τη δραστηριότητα και τα

προσωπικά

δεδομένα

του χρήστη, ακόμη και να

ελέγχει την

κάμερα

και το μικρόφωνο

του Peloton Bike + ή του Tread μέσω του Διαδικτύου.

Χάρη στην

ευπάθεια

, ο εγκληματίας θα μπορούσε να εγκαταστήσει

κακόβουλες

εφαρμογές

, που

μοιάζουν με άλλες

εφαρμογές

, όπως το Netflix ή το Spotify

. Οι

κακόβουλες

εφαρμογές

μπορεί να έχουν σχεδιαστεί για τη

συλλογή credentials

. Επίσης, είναι δυνατή η

βιντεοσκόπηση

της προπόνησης των χρηστών, την οποία ένας hacker θα μπορούσε να πουλήσει στο dark web.

Επίσης, οι hackers μπορούν να

αντικαταστήσουν

περιεχόμενο

των χρηστών με

βίντεο

που ελέγχονται από τους εισβολείς

ή ακόμα και να

καταστρέψουν ολόκληρο το tablet

. Τέλος, οι επιτιθέμενοι θα μπορούσαν να αποκρυπτογραφήσουν τις κρυπτογραφημένες επικοινωνίες του Peloton Bike + με τις διάφορες

υπηρεσίες

cloud και τις βάσεις δεδομένων, αποκτώντας πρόσβαση σε ευαίσθητες πληροφορίες για τις

επιχειρήσεις

και τους πελάτες.

ευπαθεια min - Σφάλμα επιτρέπει σε hackers να πάρουν τον πλήρη έλεγχο

Ωστόσο, για να γίνει

εκμετάλλευση

της ευπάθειας,

ο εισβολέας πρέπει να έχει είτε φυσική πρόσβαση στο μηχάνημα είτε σε οποιοδήποτε σημείο της αλυσίδας εφοδιασμού

(από την κατασκευή έως την παράδοση). Επομένως,

τα γυμναστήρια βρίσκονται σε κίνδυνο

, αφού οποιοσδήποτε μπορεί να πλησιάσει τα όργανα γυμναστικής.

Ο εισβολέας εισάγει απλά ένα μικρό

USB key

με ένα

boot image file που περιέχει κακόβουλο κώδικα και του παρέχει απομακρυσμένη πρόσβαση root.

Σύμφωνα με τη McAfee, αφού ο hacker αποκτήσει πρόσβαση,

παρεμβαίνει στο λειτουργικό

σύστημα

της Peloton

και μπορεί να εγκαταστήσει και να εκτελέσει οποιαδήποτε προγράμματα, να τροποποιήσει

αρχεία

και ουσιαστικά να αποκτήσει τον πλήρη έλεγχο του λειτουργικού συστήματος Android του Peloton Bike +.

Δείτε επίσης

:

Tech support scammers στοχεύουν πελάτες των Microsoft/McAfee με fake ανανεώσεις συνδρομής

Η Peloton εξέδωσε

ενημέρωση

στην τελευταία έκδοση του firmware της. Οι ιδιοκτήτες των γυμναστηρίων που χρησιμοποιούν το Peloton Bike + και Tread

θα πρέπει να ενημερώσουν τα μηχανήματα το συντομότερο δυνατό.

peloton min - Σφάλμα επιτρέπει σε hackers να πάρουν τον πλήρη έλεγχο

Αν και δεν υπάρχουν στοιχεία που να αποδεικνύουν ότι supply-chain exploits έχουν εισαχθεί στο

οικοσύστημα

, και οι οικιακοί

χρήστες

θα πρέπει να ενημερώσουν το firmware τους, για παν ενδεχόμενο.

Δείτε επίσης

: Ηλεκτρικά ποδήλατα: Γιατί έχουν αυξηθεί οι τιμές τους;

Σύμφωνα με τον

Adrian Stone

,

στέλεχος

της Peloton, “

αυτή η

ευπάθεια

που ανέφερε η McAfee θα απαιτούσε άμεση, φυσική πρόσβαση σε ένα Peloton Bike + ή Tread… Για να διατηρήσουμε τα μέλη μας ασφαλή, ενεργήσαμε γρήγορα και σε συντονισμό με τη McAfee. Κυκλοφορήσαμε μια

ενημέρωση

στις αρχές Ιουνίου και κάθε

συσκευή

με εγκατεστημένη την

ενημέρωση

προστατεύεται από αυτό το ζήτημα

“.