Descubierta vulnerabilidad en Peloton Bike+

McAfee publica una vulnerabilidad de seguridad crítica en Peloton Bike+. La vulnerabilidad fue encontrada en marzo por el equipo de investigación de amenazas avanzadas de McAfee (Sam Quinn y Mark Beraza), en la línea de productos Bike+ y equipos de ejercicio Tread de la marca Peloton.

El atacante requiere acceso físico a la bicicleta, pero existen miles de estas disponibles al público en hoteles, gimnasios y complejos de apartamentos en todo el mundo. La explotación del fallo permitiría a un atacante el acceso completo al dispositivo, incluyendo cámara y micrófono.

Según se informó en el blog el fallo estaba en el proceso de arranque verificado de Android (CVE-2021-33887). Los investigadores compartieron un video donde explica cómo eludir el proceso de arranque, cargar una imagen manipulada y comprometer el sistema.

Esquema: Proceso de arranque Android simplificado 

Peloton ha publicado una actualización (PTX14A-290) que resuelve la vulnerabilidad.

Más información:

https://www.zdnet.com/article/mcafee-discovers-vulnerability-in-peloton-bike/#ftag=RSSbaffb68

https://www.onepeloton.com/press/articles/peloton-security-community

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33887

fuente: unaaldia.hispasec.com