由於黑客能夠繞過公司的引導驗證過程,因此Peloton自行車+現在在熱量下。在消息說Peloton的API曝光了其私人用戶帳戶數據之後,McAfee高級威脅研究小組的警告宣布,自行車+還包括一個潛在的危險缺陷,黑客可能會利用該缺陷來獲得對自行車的隱形和遠程控制。
McAfee指出了Peloton系統缺陷
根據GizmodoMcAfee指出,一旦整個家庭趨勢開始,其研究人員就開始圍繞Peloton的系統戳戳由於大流行而起飛。在此過程中,他們能夠發現自行車+軟件並未真正驗證該設備的官方引導加載程序是否已解鎖。
這使研究人員能夠訪問並上傳一個自定義圖像,該自定義圖像甚至不是用於Peloton硬件。在他們能夠下載官方的Peloton更新軟件包後,研究人員就可以輕鬆地修改Peloton的實際啟動圖像,並直接將root訪問直接訪問到自行車的軟件上。
Android驗證的啟動過程
官方的Android驗證的啟動過程仍然無法檢測到圖像實際上已被篡改。為了使事情變得更簡單,黑客基本上使用了一個USB密鑰來上傳假啟動圖像文件,該文件即使沒有官方用戶知道它,也可以直接遠程訪問自行車。
然後,黑客可以簡單地安裝甚至運行程序,修改自行車的文件,能夠收穫關鍵的登錄憑據,攔截加密的互聯網流量,甚至可以通過自行車的麥克風和相機對用戶進行監視。但是,對於房主來說,脆弱性可能並不是很嚴重的事情,因為它確實需要物理訪問自行車+。
Peloton跌至4.2億美元購買Precor
然而,麥卡菲指出,不良演員在施工期間的任何時候仍然可以加載惡意軟件,例如在倉庫甚至交付過程中。 Peloton自行車通常非常受歡迎,尤其是在公寓樓或酒店的健身固定裝置和健身中心時。
佩洛頓(Peloton)在12月收購了Precor,損失了4.2億美元。這背後的一個很大的原因是,Precor實際上擁有一個廣泛的商業網絡,其中包括酒店,大學,公司校園甚至公寓大樓。
用戶的安全風險
Peloton在2021年6月4日正式修補了有關問題披露窗口。到目前為止,尚無跡象表明該脆弱性確實在野外被剝奪了。該公司還證實了該缺陷已嵌套在Peloton線程上,該線程此前於2021年5月召回與Peloton線程+一起。
儘管是一般的鍛煉設備,但由於用戶必須以數字方式曝光數據,但如果洩漏,這可能很危險。一旦黑客訪問了Peloton自行車+,他們將能夠操縱,下載或上傳新數據。
相關文章:Apple Fitness+可能是下一個PowerHouse Fitness應用程序:它可以與Peloton應用競爭嗎?
本文由技術時報擁有
由Urian B撰寫
