Το δημοφιλές ποδήλατο γυμναστικής Peloton Bike + και ο διάδρομος Peloton Tread περιέχουν ένα σφάλμα που θα μπορούσε να επιτρέψει σε εγκληματίες του κυβερνοχώρου να επιτεθούν σε χρήστες των μηχανημάτων (από κλοπή credentials έως κρυφή βιντεοσκόπηση).
Σύμφωνα με έρευνα της ομάδας Advanced Threat Research (ATR) της McAfee, το σφάλμα επιτρέπει σε έναν hacker να αποκτήσει απομακρυσμένη πρόσβαση root στο “tablet” της Peloton. Το tablet είναι η οθόνη αφής που είναι εγκατεστημένη στα όργανα γυμναστικής για την παροχή διαδραστικού περιεχομένου και για streaming (π.χ. για καθοδήγηση στην προπόνηση κλπ).
Δείτε επίσης: NSW Health: Παραβίαση δεδομένων μέσω ευπάθειας σε σύστημα της Accellion
Από εκεί, ένας hacker θα μπορούσε να εγκαταστήσει κακόβουλο λογισμικό, να παρακολουθεί τη δραστηριότητα και τα προσωπικά δεδομένα του χρήστη, ακόμη και να ελέγχει την κάμερα και το μικρόφωνο του Peloton Bike + ή του Tread μέσω του Διαδικτύου.
Χάρη στην ευπάθεια, ο εγκληματίας θα μπορούσε να εγκαταστήσει κακόβουλες εφαρμογές, που μοιάζουν με άλλες εφαρμογές, όπως το Netflix ή το Spotify. Οι κακόβουλες εφαρμογές μπορεί να έχουν σχεδιαστεί για τη συλλογή credentials. Επίσης, είναι δυνατή η βιντεοσκόπηση της προπόνησης των χρηστών, την οποία ένας hacker θα μπορούσε να πουλήσει στο dark web.
Επίσης, οι hackers μπορούν να αντικαταστήσουν περιεχόμενο των χρηστών με βίντεο που ελέγχονται από τους εισβολείς ή ακόμα και να καταστρέψουν ολόκληρο το tablet. Τέλος, οι επιτιθέμενοι θα μπορούσαν να αποκρυπτογραφήσουν τις κρυπτογραφημένες επικοινωνίες του Peloton Bike + με τις διάφορες υπηρεσίες cloud και τις βάσεις δεδομένων, αποκτώντας πρόσβαση σε ευαίσθητες πληροφορίες για τις επιχειρήσεις και τους πελάτες.
Ωστόσο, για να γίνει εκμετάλλευση της ευπάθειας, ο εισβολέας πρέπει να έχει είτε φυσική πρόσβαση στο μηχάνημα είτε σε οποιοδήποτε σημείο της αλυσίδας εφοδιασμού (από την κατασκευή έως την παράδοση). Επομένως, τα γυμναστήρια βρίσκονται σε κίνδυνο, αφού οποιοσδήποτε μπορεί να πλησιάσει τα όργανα γυμναστικής.
Ο εισβολέας εισάγει απλά ένα μικρό USB key με ένα boot image file που περιέχει κακόβουλο κώδικα και του παρέχει απομακρυσμένη πρόσβαση root.
Σύμφωνα με τη McAfee, αφού ο hacker αποκτήσει πρόσβαση, παρεμβαίνει στο λειτουργικό σύστημα της Peloton και μπορεί να εγκαταστήσει και να εκτελέσει οποιαδήποτε προγράμματα, να τροποποιήσει αρχεία και ουσιαστικά να αποκτήσει τον πλήρη έλεγχο του λειτουργικού συστήματος Android του Peloton Bike +.
Δείτε επίσης: Tech support scammers στοχεύουν πελάτες των Microsoft/McAfee με fake ανανεώσεις συνδρομής
Η Peloton εξέδωσε ενημέρωση στην τελευταία έκδοση του firmware της. Οι ιδιοκτήτες των γυμναστηρίων που χρησιμοποιούν το Peloton Bike + και Tread θα πρέπει να ενημερώσουν τα μηχανήματα το συντομότερο δυνατό.
Αν και δεν υπάρχουν στοιχεία που να αποδεικνύουν ότι supply-chain exploits έχουν εισαχθεί στο οικοσύστημα, και οι οικιακοί χρήστες θα πρέπει να ενημερώσουν το firmware τους, για παν ενδεχόμενο.
Δείτε επίσης: Ηλεκτρικά ποδήλατα: Γιατί έχουν αυξηθεί οι τιμές τους;
Σύμφωνα με τον Adrian Stone, στέλεχος της Peloton, “αυτή η ευπάθεια που ανέφερε η McAfee θα απαιτούσε άμεση, φυσική πρόσβαση σε ένα Peloton Bike + ή Tread… Για να διατηρήσουμε τα μέλη μας ασφαλή, ενεργήσαμε γρήγορα και σε συντονισμό με τη McAfee. Κυκλοφορήσαμε μια ενημέρωση στις αρχές Ιουνίου και κάθε συσκευή με εγκατεστημένη την ενημέρωση προστατεύεται από αυτό το ζήτημα“.
Πηγή: ThreatPost