Descubrieron una vulnerabilidad en Peloton Bike + que, cuando se explotaba, habría permitido a un atacante obtener un control completo sobre el dispositivo, incluida la cámara y el micrófono para espiar a los usuarios del gimnasio.
La vulnerabilidad fue descubierta por investigadores del equipo Advanced Threat Research (ATR) de McAfee. Los atacantes podrían aprovechar la falla para obtener acceso remoto de root a la «tabla» de Peloton. La tabla con pantalla táctil permite a los usuarios acceder a contenido interactivo y de transmisión.
Sin embargo, los atacantes necesitan acceso físico a la bicicleta o acceso durante cualquier punto de la cadena de suministro (desde la construcción hasta la entrega).
La tabla, que es un dispositivo Android estándar, cuando se ve comprometida, permitiría a un atacante instalar malware, espiar el tráfico y tomar el control total de Bike +.
Según el análisis publicado por los expertos, cuando un hacker ingresa a un gimnasio o centro fitness con una Peloton Bike +, e inserta una diminuta llave USB con un archivo de imagen de arranque que contiene un código malicioso que le otorga acceso remoto root. Dado que el atacante no necesita desbloquear la bicicleta de fábrica para cargar la imagen modificada, no hay señales de que haya sido manipulada.
Después de obtener el acceso, el ciberdelincuente interfiere con el sistema operativo de Peloton y puede instalar y ejecutar cualquier programa, modificar archivos o configurar el acceso remoto por la puerta trasera a través de Internet.
El atacante también puede agregar aplicaciones maliciosas disfrazadas de aplicaciones populares, como Netflix o Spotify, que podrían permitirles robar las credenciales de inicio de sesión de los usuarios del gimnasio. También podría recopilar información sobre los entrenamientos de los usuarios o espiarlos a través de lacámara y el micrófono de la bicicleta.
Posteriormente, los atacantes pueden descifrar las comunicaciones cifradas de la bicicleta a varios servicios en la nube y bases de datos a las que accede, potencialmente obteniendo información confidencial.
Los expertos descubrieron que el sistema de Bike no verificó que el cargador de arranque del dispositivo estuviera desbloqueado antes de intentar iniciar una imagen personalizada, lo que permitió a los expertos cargar un archivo que no estaba destinado al hardware Peloton.
Demostraron que es posible modificar un paquete de actualización legítimo para Bike + que contenía una imagen de arranque válida. Los expertos de McAfee modificaron el paquete de actualización para lograr permisos elevados. Peloton había abordado la vulnerabilidad lanzando una nueva versión de firmware. Para verificar si la bicicleta está actualizada al último software, los usuarios pueden consultar la sección Configuración de la pantalla táctil.
El equipo de ejercicio Peloton había ganado más popularidad durante la pandemia, ya que permite a los usuarios hacer ejercicio gimnástico desde casa, interactuando entre sí dentro de una comunidad en línea.
Los dispositivos Peloton están conectados en línea y están equipados con una cámara y un micrófono, mientras que estas funciones también pueden representar un riesgo potencial para el usuario en caso de un ataque.
Fuente: