¿Su Peloton está generando malware?


(Descargo de responsabilidad: el equipo de McAfee ATR reveló esta vulnerabilidad a Peloton y rápidamente comenzaron a trabajar juntos para desarrollar y emitir un parche de manera responsable dentro del período de divulgación. El parche se probó y se confirmó que entró en vigencia el 4 de junio de 2021).

Imagínese esto: un hacker ingresa a un gimnasio o centro de health and fitness con una Peloton Bike +. Inserta una pequeña llave USB con un archivo de imagen de arranque que contiene un código malicioso que les otorga acceso remoto a la raíz. Dado que el atacante no necesita desbloquear la bicicleta de fábrica para cargar la imagen modificada, no hay señales de que haya sido manipulada. Con su nuevo acceso, el pirata informático interfiere con el sistema operativo de Peloton y ahora tiene la capacidad de instalar y ejecutar cualquier programa, modificar archivos o configurar un acceso de puerta trasera remota a través de Online. Agregan aplicaciones maliciosas disfrazadas de Netflix y Spotify a la bicicleta con la esperanza de que los usuarios desprevenidos ingresen sus credenciales de inicio de sesión para que las recolecten para otros ciberataques. Pueden permitir que la cámara y el micrófono de la bicicleta espíen el dispositivo y quien lo esté usando. Para empeorar las cosas, también pueden descifrar las comunicaciones cifradas de la bicicleta con los diversos servicios en la nube y bases de datos a las que accede, interceptando potencialmente todo tipo de información confidencial. Como resultado, un asistente al gimnasio desprevenido que lleve la Peloton Bike + a dar una vuelta podría estar en peligro de que sus datos personales se vean comprometidos y su entrenamiento sea observado sin saberlo.

Ese es un riesgo potencial del que ya no tendrá que preocuparse gracias a Equipo de investigación avanzada de amenazas (ATR) de McAfee. El equipo de ATR reveló recientemente una vulnerabilidad en Peloton Bicycle +, que permitiría a un pirata informático con acceso físico a Bicycle + o acceso durante cualquier punto de la cadena de suministro (desde la construcción hasta la entrega), obtener acceso remoto a la raíz de la tableta de Peloton. El pirata informático podría instalar computer software malintencionado, interceptar el tráfico y los datos personales del usuario, e incluso obtener el management de la cámara y el micrófono de la bicicleta a través de World-wide-web. Otras conversaciones con Peloton confirmaron que esta vulnerabilidad también está presente en el equipo de ejercicio Peloton Tread sin embargo, el alcance de nuestra investigación se limitó a Bicycle +.

Como resultado de COVID-19, muchos consumidores han buscado soluciones de ejercicio en el hogar, lo que ha disparado la demanda de productos Peloton. El número de usuarios de Peloton creció un 22% entre septiembre y finales de diciembre de 2020, con más de 4,4 millones de miembros en la plataforma a finales de año. Al combinar equipos de ejercicio de lujo con tecnología de alta gama, Peloton presenta una solución atractiva para aquellos que buscan mantenerse en forma con una variedad de clases, todo desde unos pocos toques de una tableta. Aunque los productos de conditioning para el hogar como Peloton prometen una comodidad sin precedentes, muchos consumidores no se dan cuenta de los riesgos que conllevan. Dispositivos de fitness IoT plantean a su seguridad en línea.

Bajo el capó de la bicicleta Peloton +

Los dispositivos de acondicionamiento físico de IoT, como Peloton Bike +, son como cualquier otra computadora portátil o teléfono móvil que se pueda conectar a Online. Tienen sistemas integrados completos con firmware, software y sistemas operativos. Como resultado, son susceptibles al mismo tipo de vulnerabilidades y su seguridad debe abordarse con un nivel de escrutinio identical.

Siguiendo la tendencia del consumidor de aumentar los dispositivos de acondicionamiento físico de IoT, McAfee ATR comenzó a estudiar detenidamente los diversos sistemas de Peloton con un ojo crítico, buscando riesgos potenciales en los que los consumidores podrían no estar pensando. Fue durante este proceso exploratorio que el equipo descubrió que el sistema de Bicycle no verificaba que el cargador de arranque del dispositivo estuviera desbloqueado antes de intentar arrancar una imagen personalizada. Esto significa que la bicicleta permitió a los investigadores cargar un archivo que no estaba destinado al hardware Peloton, un comando que normalmente debería denegarse en un dispositivo bloqueado como este. Su primer intento solo cargó una pantalla en blanco, por lo que el equipo continuó buscando formas de instalar una imagen de arranque válida pero personalizada, que arrancaría la bicicleta con éxito con mayores privilegios.

Después de investigar un poco, los investigadores pudieron descargar un paquete de actualización directamente desde Peloton, que contenía una imagen de arranque que podían modificar. Con la capacidad de modificar una imagen de arranque de Peloton, los investigadores obtuvieron acceso de root. El acceso raíz significa que el equipo de ATR tenía el nivel más alto de permisos en el dispositivo, lo que les permitía realizar funciones como usuario last que no estaban previstas por los desarrolladores de Peloton. El proceso de inicio verificado en la bicicleta no pudo identificar que los investigadores manipularon la imagen de inicio, lo que permitió que el sistema operativo se iniciara normalmente con el archivo modificado. Para un usuario desprevenido, la Peloton Bicycle + parecía completamente ordinary, sin mostrar signos de modificaciones externas o pistas de que el dispositivo había sido comprometido. En realidad, ATR había obtenido el management overall del sistema operativo Android de Bicycle.

Consejos para mantenerse seguro mientras se mantiene en forma

La Revelado el equipo de McAfee ATR esta vulnerabilidad a Peloton y rápidamente comenzaron a trabajar juntos para Desarrollar y emitir un parche dentro de la ventana de divulgación.. El parche se probó y se confirmó que period efectivo el 4 de junio de 2021. El descubrimiento sirve como un recordatorio importante para tener precaución al usar dispositivos IoT de health, y es importante que los consumidores tengan en cuenta estos consejos para mantenerse seguros mientras se mantienen en forma:

1. ¡Actualice, actualice, actualice!

Manténgase al tanto de las actualizaciones de software del fabricante de su dispositivo, especialmente porque no siempre anunciarán su disponibilidad. Visite su sitio web con regularidad para asegurarse de no perderse noticias que puedan afectarlo. Además, asegúrese de actualizar las aplicaciones móviles que se emparejan con su dispositivo IoT. Ajuste su configuración para activar las actualizaciones automáticas de computer software, de modo que no tenga que actualizar manualmente y tenga siempre los últimos parches de seguridad.

2.Haga su investigación

Investigue antes de realizar una inversión significativa en un dispositivo de IoT. Pregúntese si estos dispositivos son de un proveedor de confianza. ¿Han tenido brechas de datos en el pasado o tienen una excelente reputación en el suministro de productos seguros? Además, tome nota de la información que recopila su dispositivo de IoT, cómo los proveedores usan esta información y qué divulgan a otros usuarios o terceros.

Sobre todo, comprenda qué command tiene sobre su privacidad y el uso de la información. Es una buena señal si un dispositivo de IoT le permite optar por no recopilar su información o le permite acceder y eliminar los datos que recopila.

3. Considere una solución de protección contra robo de identidad

Proteja sus datos para que no se vean comprometidos por ciberdelincuentes sigilosos mediante el uso de una solución de robo de identidad como la que se incluye enProtección whole de McAfee. Este software program permite a los usuarios adoptar un enfoque proactivo para proteger sus identidades con monitoreo personalized y financiero, así como herramientas de recuperación.

Minimice los riesgos de seguridad

Si usted es uno de los 4.4 millones de miembros de Peloton o united states otros dispositivos de acondicionamiento físico de IoT, es importante tener en cuenta que estos dispositivos podrían representar un riesgo potencial para la seguridad al igual que cualquier otro dispositivo conectado. Para mejorar su actividad física al mismo tiempo que protege su privacidad y sus datos, incorporar las mejores prácticas de ciberseguridad en su vida diaria para que pueda disfrutar con confianza de sus dispositivos IoT.

Colaboración con Peloton

Como se indicó, McAfee y Peloton trabajaron en estrecha colaboración para abordar este problema. Adrian Stone, Jefe de Seguridad de la Información World-wide de Peloton, compartió que “esta vulnerabilidad reportada por McAfee requeriría acceso físico directo a una Peloton Bike + o Tread. Al igual que con cualquier dispositivo conectado en el hogar, si un atacante puede obtener acceso físico a él, los controles físicos y las protecciones adicionales se vuelven cada vez más importantes. Para mantener la seguridad de nuestros miembros, actuamos rápidamente y en coordinación con McAfee. Impulsamos una actualización obligatoria a principios de junio y todos los dispositivos con la actualización instalada están protegidos contra este problema.

Peloton siempre está buscando formas de mejorar los productos y las funciones, incluida la puesta a disposición de los miembros de nuevas funciones a través de actualizaciones de program que se envían a los dispositivos Peloton. Para obtener una guía paso a paso sobre cómo verificar el software program actualizado, los miembros de Peloton pueden visitar Peloton sitio de soporte.

Mantente actualizado

Para mantenerse actualizado sobre todas las cosasMcAfeey además de las últimas amenazas a la seguridad móvil y para el consumidor, siga@McAfee_Propertyen Twitter, suscríbete a nuestroBoletin informativo, escucha nuestro podcast ¿Hackable?y «Me gusta» enFb.





Enlace a la noticia authentic