Bezpečnost | Sport | McAfee

Bezpečnostní díra v cyklotrenažéru Peloton umožňovala vzdálené špehování

Bezpečností experti ze společnosti McAfee publikovali informace o zranitelnosti cyklotrenažérů amerického výrobce Peloton. V případě zneužití mohli útočníci získat úplnou kontrolu nad strojem, včetně přístupu k jeho kameře a mikrofonu. V podrobném popisu pak vysvětlují, jakým způsobem bylo možné zařízení napadnout.

Odborníci Sam Quinn a Mark Bereza zakoupili cyklotrenažér Peloton Bike+, aby prozkoumali jeho operační systém a zjistili, zda se jim podaří najít způsob, jak zařízení kompromitovat. Ukázalo se, že technickou stránku zajišťuje v podstatě úplně obyčejný tablet s Androidem se všemi s tím souvisejícími výhodami i nevýhodami.

Hack cyklotrenažéru

Systém Android umožňuje zařízením spouštět upravený obraz pomocí speciálního příkazu nazvaného fastboot boot, který načte zadaný spouštěcí obraz bez flashování a umožní zařízení vrátit se při restartu k výchozímu spouštěcímu záznamu. Novější verze Androidu umožňují vývojářům uvést zařízení do uzamčeného stavu, čímž lze možnosti načíst upravené spouštěcí obrazy zabránit.

Přesně to také udělal výrobce cyklotrenažéru, který nastavil zařízení do uzamčeného stavu. Jenže výzkumníci zjistili, že kvůli chybě v ověření, zda je zařízení odemčené, mohou načíst upravený zaváděcí obraz. Jejich testovací obraz sice selhal, protože neobsahoval správné ovladače displeje a hardwaru, ale ukázal, že na něm lze spustit upravený kód.

Experti následně získali originální obraz systému, který upravili tak, aby v něm mohli využívat zvýšená oprávnění (konkrétně příkaz su). S fyzickým přístupem k zařízení nahráli upravený soubor boot.img do zařízení Peloton Bike+ a pomocí příkazu su se jim podařilo získat nejvyšší přístupová oprávnění roota.

Zatímco cyklotrenažér fungoval a vypadal jako obvykle, bezpečnostní experti v něm měli vyšší přístupová práva a mohli spouštět libovolné aplikace. Odborníci svá zjištění následně nahlásili výrobci, který promptně zareagoval a vydal novou verzi softwaru PTX14A-290, jež uvedený problém opravuje.

A komu tím prospějete?!

Možná si říkáte, co je na zranitelnosti cyklotrenažéru tak hrozného, když se nejedná o zařízení, kde jsou uložena citlivá data nebo kde se přihlašujete ke svým bankovním a e-mailovým účtům. Problém je v tom, že stroje Peloton jsou ve Spojených státech v mnoha posilovnách, hotelích, na výletních lodích a dalších veřejně přístupných místech.

Pokud se útočníkovi podaří zařízení kompromitovat, může na něj nainstalovat malware, který bude sbírat účty lidí, jež tato zařízení používají. Patrně největší nepříjemností je možnost vzdáleně sledovat dění v místnosti pomocí kamery a mikrofonu.

Uvedená bezpečnostní díra sice vyžaduje fyzický přístup k zařízení, což však v případě posiloven a dalších veřejně přístupných míst nemusí být větší problém. Ukazuje, jak původně naprosto bezpečné stroje mohou být kvůli transformaci na „chytrá“ zařízení potenciálně nebezpečné a ohrožovat soukromí.

Diskuze (8) Další článek: Astronauti nainstalovali na Mezinárodní vesmírnou stanici nové solární panely

Témata článku: Bezpečnost, USA, Android, Hacking, Sport, Kamera, Cyklistika, Odposlech, McAfee, Zařízení, Díra, Špehování, Příkaz, Bezpečnostní díra, Obraz, Peloton, Telefony s Androidem na Heureka.cz



Sex manželských párů? Jen výjimečně. Ložnice ovládnou roboti s umělou inteligencí

Sex manželských párů? Jen výjimečně. Ložnice ovládnou roboti s umělou inteligencí

** Sex manželských párů jen při zvláštních příležitostech. ** Ložnice ovládnou sexuální roboti s umělou inteligencí. ** I to je jeden ze závěrů Mezinárodní robotické konference.

Filip KůželJiří Liebreich
RobotiSexUmělá inteligence
Google není jen vyhledávač: 15 užitečných funkcí, o kterých možná ani nevíte

Google není jen vyhledávač: 15 užitečných funkcí, o kterých možná ani nevíte

** Google umí kromě vyhledávání i spoustu dalších věcí ** Vybrali jsme více než 15 užitečných funkcí a schopností ** Stačí zadat do vyhledávače ta správná klíčová slova

Karel Kilián
TipyVyhledávačeGoogle
Tuto českou základnu plnou satelitů nesmíte vidět. V Mapy.cz je každá anténa pečlivě vyretušovaná

Tuto českou základnu plnou satelitů nesmíte vidět. V Mapy.cz je každá anténa pečlivě vyretušovaná

** Zapomeňte na rozčtverečkovaná místa, kterých si každý všimne ** Mapy.cz musely dokonale zakrýt desítky parabol ** Základnou se přitom na webu chlubí i její majitel. Kocourkov

Jakub Čížek
ČeskoMapy.czMapy
Nastal pravý čas na výměnu telefonu. Jak poznat, že ten váš už dosluhuje?

Nastal pravý čas na výměnu telefonu. Jak poznat, že ten váš už dosluhuje?

** Jak poznat, že váš telefon má nejlepší dny za sebou? ** Vypadá potlučeně, má pavučinu nebo nedostává aktualizace? ** Ukážeme si, kdy má smysl jeho oprava, a kdy už jen koupě nového

Martin Chroust
Prasklý displejVysloužilý mobilSmartphony
Nokia 3310 slaví 22 let. Jak se z nenápadného telefonu stala nezapomenutelná legenda

Nokia 3310 slaví 22 let. Jak se z nenápadného telefonu stala nezapomenutelná legenda

** 1. září tomu je přesně 22 let od představení legendární Nokie 3310 ** Telefon je dodnes známý svými originálními kryty i výdrží ** Model se vyráběl dlouhé 4 roky a mnozí jej používali i spoustu let poté

Martin Miksa
RetroLegendy
Kurvítka v základní výbavě, výrobci mají umělé zastarávání v malíku. Začalo to bateriemi, pokračuje softwarem

Kurvítka v základní výbavě, výrobci mají umělé zastarávání v malíku. Začalo to bateriemi, pokračuje softwarem

** Nejen mobilní výrobci jsou naučeni rok od roku prodávat stále více telefonů ** Tento trend se však zákonitě musí někdy zastavit ** Jenže, co naplat, když jsou starší zařízení „uměle“ nepoužitelná?

Martin Chroust
Prasklý displejBaterieAktualizace softwaru
10 důvodů, proč přejít z iPhonu na Android. Přesvědčí vás tento seznam o změně mobilní platformy?

10 důvodů, proč přejít z iPhonu na Android. Přesvědčí vás tento seznam o změně mobilní platformy?

** Google se snaží přesvědčit uživatele iOS o přechodu na Android ** Vytyčil deset největších důvodů pro změnu platformy ** Nám to však příliš nestačí, spokojíte se s hlavními důvody alespoň vy?

Martin Chroust
GoogleiOSAndroid