¿Su Peloton está generando malware?


[Disclaimer: The McAfee ATR team disclosed this vulnerability to Peloton and promptly started working together to responsibly develop and issue a patch within the disclosure window. The patch was tested and confirmed effective on June 4, 2021.]

Imagínese esto: un hacker ingresa a un gimnasio o centro de conditioning con una Peloton Bicycle +. Inserta una pequeña llave USB con un archivo de imagen de arranque que contiene un código malicioso que les otorga acceso remoto a la raíz. Dado que el atacante no necesita desbloquear la bicicleta de fábrica para cargar la imagen modificada, no hay señales de que haya sido manipulada. Con su nuevo acceso, el pirata informático interfiere con el sistema operativo de Peloton y ahora tiene la capacidad de instalar y ejecutar cualquier programa, modificar archivos o configurar un acceso remoto por puerta trasera a través de Internet. Agregan aplicaciones maliciosas disfrazadas de Netflix y Spotify a la bicicleta con la esperanza de que los usuarios desprevenidos ingresen sus credenciales de inicio de sesión para que las recolecten para otros ciberataques. Pueden permitir que la cámara y el micrófono de la bicicleta espíen el dispositivo y quien lo esté usando. Para empeorar las cosas, también pueden descifrar las comunicaciones cifradas de la bicicleta con los diversos servicios en la nube y bases de datos a las que accede, interceptando potencialmente todo tipo de información practical. Como resultado, un asistente al gimnasio desprevenido que lleve la Peloton Bike + a dar una vuelta podría estar en peligro de que sus datos personales se vean comprometidos y su entrenamiento sea observado sin saberlo.

Ese es un riesgo potencial del que ya no tiene que preocuparse gracias a Equipo de investigación avanzada de amenazas (ATR) de McAfee. El equipo de ATR reveló recientemente una vulnerabilidad (CVE-2021-3387) en Peloton Bike +, lo que permitiría a un pirata informático con acceso físico a Bicycle + o acceso durante cualquier punto de la cadena de suministro (desde la construcción hasta la entrega), obtener acceso remoto a la raíz de la tableta Peloton. El pirata informático podría instalar computer software malintencionado, interceptar el tráfico y los datos personales del usuario e incluso obtener el manage de la cámara y el micrófono de la bicicleta a través de World wide web. Otras conversaciones con Peloton confirmaron que esta vulnerabilidad también está presente en el equipo de ejercicio Peloton Tread sin embargo, el alcance de nuestra investigación se limitó a Bicycle +.

Como resultado de COVID-19, muchos consumidores han buscado soluciones de ejercicio en el hogar, lo que ha disparado la demanda de productos Peloton. El número de usuarios de Peloton creció un 22% entre septiembre y finales de diciembre de 2020, con más de 4,4 millones de miembros en la plataforma a fin de año. Al combinar equipos de ejercicio de lujo con tecnología de alta gama, Peloton presenta una solución atractiva para aquellos que buscan mantenerse en forma con una variedad de clases, todo desde unos pocos toques de una tableta. Aunque los productos de exercise para el hogar como Peloton prometen una comodidad sin precedentes, muchos consumidores no se dan cuenta de los riesgos que conllevan. Dispositivos de physical fitness IoT plantean a su seguridad en línea.

Bajo el capó de la bicicleta Peloton +

Los dispositivos de acondicionamiento físico de IoT, como Peloton Bicycle +, son como cualquier otra computadora portátil o teléfono móvil que se pueda conectar a Net. Tienen sistemas integrados completos con firmware, software package y sistemas operativos. Como resultado, son susceptibles al mismo tipo de vulnerabilidades y su seguridad debe abordarse con un nivel de escrutinio very similar.

Siguiendo la tendencia del consumidor de aumentar los dispositivos de acondicionamiento físico de IoT, McAfee ATR comenzó a estudiar detenidamente los diversos sistemas de Peloton con un ojo crítico, buscando riesgos potenciales en los que los consumidores podrían no estar pensando. Fue durante este proceso exploratorio que el equipo descubrió que el sistema de Bike no verificaba que el cargador de arranque del dispositivo estuviera desbloqueado antes de intentar arrancar una imagen personalizada. Esto significa que la bicicleta permitió a los investigadores cargar un archivo que no estaba destinado al hardware Peloton, un comando que normalmente debería denegarse en un dispositivo bloqueado como este. Su primer intento solo cargó una pantalla en blanco, por lo que el equipo continuó buscando formas de instalar una imagen de arranque válida pero personalizada, que arrancaría la bicicleta con éxito con mayores privilegios.

Después de investigar un poco, los investigadores pudieron descargar un paquete de actualización directamente desde Peloton, que contenía una imagen de arranque que podían modificar. Con la capacidad de modificar una imagen de arranque de Peloton, los investigadores obtuvieron acceso de root. El acceso raíz significa que el equipo de ATR tenía el nivel más alto de permisos en el dispositivo, lo que les permitía realizar funciones como usuario final que no estaban previstas por los desarrolladores de Peloton. El proceso de inicio verificado en la bicicleta no pudo identificar que los investigadores manipularon la imagen de inicio, lo que permitió que el sistema operativo se iniciara normalmente con el archivo modificado. Para un usuario desprevenido, la Peloton Bike + parecía completamente typical, sin mostrar signos de modificaciones externas o pistas de que el dispositivo había sido comprometido. En realidad, ATR había obtenido el handle completo del sistema operativo Android de Bicycle.

Consejos para mantenerse seguro mientras se mantiene en forma

los Revelado el equipo de McAfee ATR esta vulnerabilidad a Peloton y rápidamente comenzamos a trabajar juntos para Desarrollar y emitir un parche dentro de la ventana de divulgación.. El parche se probó y se confirmó que era efectivo el 4 de junio de 2021. El descubrimiento sirve como un recordatorio importante para tener precaución al usar dispositivos IoT de health and fitness, y es importante que los consumidores tengan en cuenta estos consejos para mantenerse seguros mientras se mantienen en forma:

1. ¡Actualice, actualice, actualice!

Manténgase al tanto de las actualizaciones de software del fabricante de su dispositivo, especialmente porque no siempre anunciarán su disponibilidad. Visite su sitio net con regularidad para asegurarse de no perderse noticias que puedan afectarlo. Además, asegúrese de actualizar las aplicaciones móviles que se emparejan con su dispositivo IoT. Ajuste su configuración para activar las actualizaciones automáticas de program, de modo que no tenga que actualizar manualmente y tenga siempre los últimos parches de seguridad.

2. Investiga

Investigue antes de realizar una inversión significativa en un dispositivo de IoT. Pregúntese si estos dispositivos son de un proveedor de confianza. ¿Han tenido brechas de datos en el pasado o tienen una excelente reputación en el suministro de productos seguros? Además, tome nota de la información que recopila su dispositivo de IoT, cómo los proveedores usan esta información y qué divulgan a otros usuarios o terceros.

Sobre todo, comprenda qué management tiene sobre su privacidad y el uso de la información. Es una buena señal si un dispositivo de IoT le permite optar por no recopilar su información o le permite acceder y eliminar los datos que recopila.

3. Considere una solución de protección contra el robo de identidad

Proteja sus datos para que no se vean comprometidos por ciberdelincuentes sigilosos mediante el uso de una solución de robo de identidad como la que se incluye enProtección whole de McAfee. Este software program permite a los usuarios adoptar un enfoque proactivo para proteger sus identidades con monitoreo private y financiero, así como herramientas de recuperación.

Minimice los riesgos de seguridad

Si usted es uno de los 4.4 millones de miembros de Peloton o usa otros dispositivos de acondicionamiento físico de IoT, es importante tener en cuenta que estos dispositivos podrían representar un riesgo potencial para la seguridad al igual que cualquier otro dispositivo conectado. Para mejorar su actividad física al mismo tiempo que protege su privacidad y sus datos, incorporar las mejores prácticas de ciberseguridad en su vida diaria para que pueda disfrutar con confianza de sus dispositivos IoT.

Colaboración con Peloton

Como se indicó, McAfee y Peloton trabajaron en estrecha colaboración para abordar este problema. Adrian Stone, Jefe de Seguridad de la Información Worldwide de Peloton, compartió que “esta vulnerabilidad reportada por McAfee requeriría acceso físico directo a una Peloton Bicycle + o Tread. Al igual que con cualquier dispositivo conectado en el hogar, si un atacante puede obtener acceso físico a él, los controles físicos y las protecciones adicionales se vuelven cada vez más importantes. Para mantener la seguridad de nuestros miembros, actuamos rápidamente y en coordinación con McAfee. Impulsamos una actualización obligatoria a principios de junio y todos los dispositivos con la actualización instalada están protegidos contra este problema «.

Peloton siempre está buscando formas de mejorar los productos y las funciones, incluida la puesta a disposición de los miembros de nuevas funciones a través de actualizaciones de software program que se envían a los dispositivos Peloton. Para obtener una guía paso a paso sobre cómo buscar computer software actualizado, los miembros de Peloton pueden visitar Peloton sitio de soporte.





Enlace a la noticia original