Las siguientes noticias se refieren a la API de Peloton Datos de cuenta de usuario privados expuestos, Dijo el equipo de investigación de amenazas avanzadas de McAfee Bicicleta + Existe un defecto peligroso que permite a los piratas informáticos controlar la bicicleta de forma remota de forma invisible.
McAfee dijo que una vez que surgió la tendencia de hacer ejercicio en casa durante la pandemia, sus investigadores comenzaron a estudiar el sistema de Peloton. En el proceso, descubrieron que el software Bike + no verificaba que el cargador de arranque del dispositivo estuviera desbloqueado, lo que les permitía cargar imágenes personalizadas que no eran adecuadas para el hardware Peloton. Después de descargar el paquete de actualización oficial de Peloton, los investigadores pudieron modificar la imagen de arranque real de Peloton y obtener acceso de root al software de la bicicleta. El proceso de arranque de verificación de Android no puede detectar que la imagen ha sido manipulada.
O más simplemente, los piratas informáticos pueden usar una llave USB para cargar un archivo de imagen de arranque falso, lo que les permite acceder de forma remota a la bicicleta sin el conocimiento del usuario. El pirata informático puede instalar y ejecutar programas, modificar archivos, obtener credenciales de inicio de sesión, interceptar el tráfico de Internet cifrado o monitorear a los usuarios a través de la cámara y el micrófono de la bicicleta.
Para los usuarios domésticos, esta vulnerabilidad puede no parecer tan grave, porque requiere acceso físico a Bike + para lograrlo. Sin embargo, McAfee declaró que los actores maliciosos pueden cargar malware en cualquier momento durante la construcción, el almacén o la entrega.Original Las bicicletas Peloton también son equipos populares para gimnasios y centros de fitness en hoteles y edificios de apartamentos, un área en la que la empresa desea expandirse. Peloton se rindió Adquisición de Precor por $ 420 millones En diciembre, una razón importante fue la extensa red comercial de Precor, incluidos hoteles, parques corporativos, universidades y edificios de apartamentos. Es posible que Bike + no esté disponible comercialmente en este momentoPero esto no significa que no lo harán en el futuro.
Según los informes, Peloton solucionó este problema el 4 de junio. Ventana de divulgaciónY no hay indicios de que la vulnerabilidad haya sido ampliamente explotada. La compañía también confirmó que el defecto también se encontró en Peloton Tread. Retirado el mes pasado Y Peloton Tread +.
G / O Media puede recibir comisiones
Por lo general, aquí es donde le decimos que se asegure de tener la última actualización de firmware; puede hacer esto Siga estas instrucciones. Dicho eso, La empresa no publica notas de la versión de software.Teniendo en cuenta cómo, Peloton probablemente debería abordar esta omisión El popular fitness online se ha convertido En el año pasado. En este caso, es mejor habilitar las actualizaciones automáticas siempre que sea posible. Otra cosa para recordar es que Peloton prohíbe a los usuarios descargar otras aplicaciones (como Netflix o Spotify) en sus bicicletas y cintas de correr. (Aunque hay La solución a este problema.) Entonces, si estás en el Peloton público y tiene otras aplicaciones … probablemente no deberías usarlo.
Actualización, 16 de junio de 2021, 8:40 a.m.: Aclarar que actualmente solo se pueden encontrar bicicletas Peloton originales en entornos comerciales.Una versión anterior de este artículo señaló que buscar actualizaciones de Peloton no es fácil; desde entonces hemos Se agregó un Enlaces sobre cómo hacerlo Verifica que tienes La última actualización de Peloton. Lamentamos el error.
