Peloton Bike+ Kerentanan Akan Memungkinkan Kontrol Perangkat Penuh Kepada Penyerang

  • Whatsapp

Perhatian, pelanggan Peloton! Kerentanan keamanan di Peloton Bike+ dapat memungkinkan penyerang mengendalikan perangkat Anda. Perbarui firmware perangkat Anda paling awal karena vendor sekarang telah menambal kekurangannya.

Sepeda Peloton+ Kerentanan

Peneliti dari tim McAfee Advanced Threat Research menemukan kerentanan keamanan yang serius di Peloton Bike+.

Bike+ adalah sepeda stasioner pintar milik perusahaan kebugaran Amerika Peloton Interactive Inc. Perusahaan ini memiliki lini produk yang beragam untuk penggemar kebugaran mulai dari sepeda stasioner hingga treadmill dan aksesori terkait.

Pada dasarnya, monitor Bike+ adalah tablet Android sederhana yang memberikan sepeda semua fungsi yang terhubung ke internet. Menurut para peneliti, kerentanan terutama ada dalam proses Android Verified Boot (AVB) perangkat. AVB adalah mekanisme keamanan untuk memverifikasi semua executable dan data sebelum boot.

Namun, karena kerentanannya, penyerang dengan akses fisik ke perangkat dapat mengganggu firmware. Sangat mudah untuk melewati AVB dan mendapatkan hak istimewa yang lebih tinggi pada perangkat dengan mem-boot Peloton dengan gambar yang dimodifikasi. Melakukannya tidak akan meninggalkan jejak apa pun karena penyerang tidak perlu membuka blokir perangkat untuk boot. Oleh karena itu, pengguna tidak akan pernah tahu tentang peretasan tersebut.

Menjelaskan risiko yang terkait dengan serangan semacam itu, para peneliti menyatakan dalam pos,

Serangan semacam ini dapat dilakukan secara efektif melalui proses rantai pasokan. Pelaku jahat dapat merusak produk kapan saja mulai dari konstruksi, gudang, hingga pengiriman, memasang pintu belakang ke tablet Android tanpa cara apa pun yang dapat diketahui pengguna akhir. Skenario lain adalah penyerang dapat dengan mudah berjalan ke salah satu perangkat ini yang dipasang di gym atau ruang kebugaran dan melakukan serangan yang sama, mendapatkan akses root pada perangkat ini untuk digunakan nanti.

Untuk skenario terakhir, musuh dapat dengan mudah mengetahui perangkat target melalui Peta interaktif Pelobuddy.

Para peneliti telah mendemonstrasikan serangan tersebut dengan mengeksploitasi kelemahan ini dalam video berikut.

Patch Dikerahkan

Setelah menemukan kerentanan, para peneliti melaporkan masalah tersebut ke vendor pada Maret 2021. Akibatnya, Peloton menambal kerentanan dengan merilis versi perangkat lunak PTX14A-290 awal bulan ini.

Vendor juga mengonfirmasi bahwa kerentanan yang sama juga memengaruhi produk Tread+.

Karena pembaruan tersedia, pengguna Bike+ dan Tread+ harus memastikan memperbarui perangkat mereka jika belum melakukannya.

Beri tahu kami pendapat Anda di komentar.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *