Descubierta vulnerabilidad en Peloton Bike+
McAfee publica una vulnerabilidad de seguridad crítica en Peloton Bike+. La vulnerabilidad fue encontrada en marzo por el equipo de investigación de amenazas avanzadas de McAfee (Sam Quinn y Mark Beraza), en la línea de productos Bike+ y equipos de ejercicio Tread de la marca Peloton.
El atacante requiere acceso físico a la bicicleta, pero existen miles de estas disponibles al público en hoteles, gimnasios y complejos de apartamentos en todo el mundo. La explotación del fallo permitiría a un atacante el acceso completo al dispositivo, incluyendo cámara y micrófono.
Según se informó en el blog el fallo estaba en el proceso de arranque verificado de Android (CVE-2021-33887). Los investigadores compartieron un video donde explica cómo eludir el proceso de arranque, cargar una imagen manipulada y comprometer el sistema.
Esquema: Proceso de arranque Android simplificado
Peloton ha publicado una actualización (PTX14A-290) que resuelve la vulnerabilidad.
Más información:
https://www.zdnet.com/article/mcafee-discovers-vulnerability-in-peloton-bike/#ftag=RSSbaffb68
https://www.onepeloton.com/press/articles/peloton-security-community
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33887
La entrada Descubierta vulnerabilidad en Peloton Bike+ se publicó primero en Una al Día.
Powered by WPeMatico