Un bug du Peloton Bike+ donne un contrôle complet aux pirates

0

Les populaires équipements d’exercice Peloton Bike+ et Peloton Tread contiennent une faille de sécurité qui pourrait exposer les clients des salles de sports à une grande variété de cyberattaques, au vol d’identifiants aux enregistrements vidéo clandestins.

Selon les recherches de l’équipe Advanced Threat Research de McAfee, le bogue (pas de CVE disponible) permettrait à un pirate informatique d’obtenir un accès root à distance à la « tablette » du Peloton. La tablette est l’écran tactile installé sur les appareils pour fournir du contenu interactif et en streaming, tel que le coaching d’entraînement de motivation qui sera familier à quiconque regarde des publicités télévisées pendant la pandémie.

À partir de là, un pirate informatique diligent pourrait installer des logiciels malveillants, intercepter le trafic et les données personnelles de l’utilisateur, et même contrôler la caméra et le micro de l’appareil Bike+ ou Tread via Internet.

Certains des scénarios d’attaque incluent l’ajout d’applications malveillantes déguisées en Netflix et Spotify conçues pour collecter des informations de connexion afin qu’elles puissent les collecter pour d’autres cyberattaques. Ou, quelqu’un pourrait enregistrer les séances d’entraînement des gens pour un usage personnel, ou pour être mis en vente dans les coins les plus sombres d’Internet.

Les attaques malveillantes sont également possibles, comme le remplacement du contenu par des vidéos contrôlées par des attaquants, ou même le briquetage complet des tablettes. Et, les attaquants pourraient décrypter les communications chiffrées du vélo avec les différents services cloud et bases de données auxquels il accède, interceptant potentiellement toutes sortes d’informations commerciales et de données sensibles de clients.

Il y a cependant un hic : un attaquant aurait besoin d’un accès physique aux machines d’entraînement ou d’un accès à n’importe quel point de la chaîne d’approvisionnement (de la construction à la livraison), a noté McAfee – ce qui signifie que les salles de sport sont l’endroit le plus probable pour une exploitation dans le monde réel.

Petit USB, grosses conséquences

Le piratage fonctionne comme ceci : un attaquant insère simplement une petite clé USB avec un fichier d’image de démarrage contenant un code malveillant qui lui accorde un accès root à distance, ont expliqué les chercheurs.

« Étant donné que l’attaquant n’a pas besoin de déverrouiller le vélo en usine pour charger l’image modifiée, il n’y a aucun signe qu’il a été falsifié », selon l’analyse de McAfee. « Avec son nouvel accès, le pirate informatique interfère avec le système d’exploitation du Peloton et a désormais la possibilité d’installer et d’exécuter n’importe quel programme, de modifier des fichiers ou de configurer un accès à distance par une porte dérobée sur Internet. »

Le problème est le fait que les systèmes Bike+ et Tread ne vérifiaient pas que le chargeur de démarrage de l’appareil était déverrouillé avant de tenter de démarrer une image personnalisée.

« Cela signifie que l’engrenage a permis aux chercheurs de charger un fichier qui n’était pas destiné au matériel Peloton – une commande qui devrait normalement être refusée sur un appareil verrouillé comme celui-ci », ont expliqué les chercheurs.

peloton bike+

Pour exploiter le problème, les chercheurs ont téléchargé un package de mise à jour pour Bike+ directement à partir de Peloton, qui contenait une image de démarrage valide que McAfee a simplement modifiée pour leur donner des autorisations élevées.

« Le processus de démarrage vérifié sur le vélo n’a pas réussi à identifier que les chercheurs ont falsifié l’image de démarrage, permettant au système d’exploitation de démarrer normalement avec le fichier modifié », selon l’article.  » Pour un utilisateur sans méfiance, le Peloton Bike+ semblait tout à fait normal, ne montrant aucun signe de modifications externes ou d’indices indiquant que l’appareil avait été compromis. En réalité, les chercheurs avaient pris le contrôle total du système d’exploitation Android du vélo. »

Peloton s’est attaqué au problème

Peloton a publié un correctif dans la dernière version de son firmware. Les propriétaires de salles de sport doivent bien sûr initier les mises à jour dès que possible.

Le COVID-19 a poussé plus de personnes à faire de l’exercice à l’intérieur de leur domicile, le nombre d’utilisateurs de Peloton a augmenté de 22% entre Septembre et fin Décembre, avec plus de 4,4 millions de membres sur la plate-forme à la fin de l’année, selon une lettre aux actionnaires. Rien n’indique que des exploits de la chaîne d’approvisionnement ont été introduits dans l’écosystème, mais les utilisateurs à domicile doivent néanmoins également mettre à jour leur firmware.

Selon Adrian Stone, responsable de la sécurité mondiale de l’information chez Peloton, « cette vulnérabilité signalée par McAfee nécessiterait un accès physique direct à un vélo Peloton+ ou une bande de roulement. Comme pour tout appareil connecté à la maison, si un attaquant est en mesure d’y accéder physiquement, des contrôles physiques et des protections supplémentaires deviennent de plus en plus importants. Pour assurer la sécurité de nos membres, nous avons agi rapidement et en coordination avec McAfee. Nous avons poussé une mise à jour obligatoire début Juin et chaque appareil sur lequel la mise à jour est installée est protégé contre ce problème. »

Pour vérifier si le système est à jour, les utilisateurs peuvent le faire (et lancer une mise à niveau si nécessaire) directement depuis la tablette. C’est aussi une bonne idée d’activer la mise à jour automatique.

Si cet article vous a plu, jetez un œil à notre article précédent.

Laisser un commentaire