Peloton 修复了自行车黑客漏洞——怎样确保您的模型安全

运动器材制造商 Peloton 最近修复了其 Bike+ 和 Tread 模型中的一个软件漏洞,该漏洞可能让具有物理访问权限的攻击者获得完全控制权。 然后,攻击者可能使用内置摄像头和麦克风监视 Peloton 用户,或者可能在 Peloton 机器上安装恶意软件。

“一个毫无戒心的健身房爱好者在使用 Peloton Bike+ 兜风时可能会面临个人数据被泄露和他们的锻炼在不知不觉中被监视的危险,” McAfee 的高级威胁研究团队,它发现了安全漏洞。

Peloton 数据泄露暴露了用户的个人数据最适合您家的健身车加: Windows 11 全面在线泄露——这是你的第一眼

本月早些时候,所有受影响的 Peloton 装置都应该收到了一个无线安全更新,修复了该漏洞并将软件升级到 PTX14A-290 版本。

“如果您拥有 Bike+ 或 Tread,我们建议您在设备上登录平板电脑,”一位 Peloton 博文 关于这个问题。 “如果您还没有使用最新的软件,您将需要在登录后立即更新您的软件。”

怎样确保您的 Peloton Bike+ 或 Tread 已更新

要确保您的 Peloton Bike+ 或 Tread 型号有更新,请按照以下说明进行操作,详情请参阅 Peloton 的支持页面. Peloton Bike 和 Tread+ 型号不受影响。

1. 点击 Peloton 屏幕右上角的设置,然后点击弹出菜单中的设备设置。

Peloton Bike+ 或 Tread 型号屏幕上的“设置”按钮。

2. 在设置屏幕中点击系统。

Peloton Bike+ 或 Tread 装置上的系统设置屏幕。

3. 在系统屏幕中点击系统更新。

Peloton Bike+ 或 Tread 型号上的软件更新屏幕。

将弹出一个对话框,告诉您您的设备是最新的,或者有可用更新。 在后一种情况下,系统将提示您开始更新过程。

Bike 和 Tread+ 模型不受此处讨论的缺陷影响,可以或多或少以相同的方式更新,除了在步骤 2 中您点击关于平板电脑而不是系统。

这个 Peloton 安全漏洞发生了什么

McAfee hack 并没有深入研究,而是相当简单,并且是通过反复试验发现的。 (技术细节在这个 单独的迈克菲博客文章 如果你有兴趣。)

所有 Peloton 型号上的触摸屏都是经过修改的界面的 Android 平板电脑。 McAfee 发现 Peloton 确实采取了必要的安全预防措施,并锁定了平板电脑引导加载程序,以使 Android 操作系统无法被篡改。

通常,这意味着攻击者的行将结束。 尽管如此,McAfee 研究人员还是能够通过插入加载了自定义引导加载程序的 USB-C 驱动器并通过同时按下电源和音量增大按钮访问 Android 平板电脑的恢复屏幕,将平板电脑部分引导到不同版本的 Android时间。

该方法导致黑屏,但它表明可以绕过引导加载程序锁定。 因此,McAfee 研究人员随后获取了较早的 Peloton 固件更新,提取了启动映像,将其加载到他们的 USB 驱动器上,发现他们可以从 USB 驱动器启动平板电脑。

从那里,他们能够更改 Peloton 启动映像以添加“sudo”命令,该命令向 Linux 系统上的任何用户授予临时 root 访问权限,Android 处于幕后。

Root 访问权限让用户可以完全控制系统,并有权安装应用程序、更改重要配置或更改操作系统本身。

由于 McAfee 研究人员能够在他们的 Bike+ 设备上安装他们修改后的启动映像,因此他们可以对机器进行永久、远程访问控制。 这是最终结果的视频。

几个大的“如果”

这显然非常严重,但有一些警告。 首先,攻击者需要单独使用 Peloton 机器几分钟才能执行此攻击。 它不能仅仅发生在空中。

其次,迈克菲提出了一个犯罪分子在空荡荡的健身房里闲逛的场景,将 USB-C 驱动器插入随机的 Peloton 机器中以破解它们。 但是 Peloton 的一位发言人告诉我们,该公司“目前不提供 Peloton Bike+ 或 Tread 用于商业用途”——这些模型很容易受到这个缺陷的影响。

这确实留下了更多涉及向消费者出售的 Peloton 机器的私人攻击的可能性。 例如,那个丈夫 Peloton 电视广告 在 2019 年假期期间传播开来的病毒可能会利用这个缺陷来监视他的妻子,反之亦然。 但话又说回来,任何一方都可以很容易地以其他十几种方式监视对方。

今日最佳 Peloton Bike+ 优惠查看类似亚马逊美国亚马逊没有价格信息我们每天检查超过 1.3 亿件产品以获得最优惠的价格

相关阅读:

Posted in: 隐私安全