Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

McAfee découvre une vulnérabilité dans Peloton Bike+

juin 2021 par McAfee

McAfee Enterprise Advanced Threat Research (ATR) publie ses recherches sur la vulnérabilité du vélo d’entrainement Peloton Bike+. Cette vulnérabilité permettait à une personne ayant un accès physique au vélo, ou un accès à tout moment de la chaîne d’approvisionnement (de la construction à la livraison), d’accéder à distance à la tablette du vélo Peloton, y compris à la caméra, au microphone et aux données personnelles.

Pendant le COVID-19, les vélos Peloton sont devenus une solution alternative de remise en forme à domicile par excellence pour les particuliers. En effet, 68 % d’entre eux ont déclaré qu’ils étaient moins susceptibles d’aller à la salle de sport pendant la pandémie et 28 % d’entre eux disent qu’ils sont encore sceptiques à l’idée de participer à des cours collectifs tant que la situation sanitaire ne se sera pas améliorée. À mesure que nous continuons à nous adapter à un mode de vie axé sur le numérique, il est essentiel pour les utilisateurs de prendre en compte les conséquences de l’augmentation du nombre de points de contact numériques dans leurs activités quotidiennes. Et de l’importance de rester informés et proactifs en ce qui concerne les cyber menaces potentielles.

Voici les principales conclusions tirées par les équipes de recherche McAfee :
• Les chercheurs ont découvert une faille dans le processus AVB (Android Verified Boot) qui rendait le vélo Peloton vulnérable.
• Les chercheurs ont pu contourner le processus d’amorçage vérifié d’Android, qui, s’il est effectué par un cyber-attaquant, peut conduire à la compromission du système d’exploitation Android avec un accès physique.
• Avec cette vulnérabilité, le pire scénario serait qu’un acteur malveillant démarre le vélo Peloton avec une image modifiée afin d’obtenir des privilèges élevés, puis exploite ces privilèges pour établir un reverse shell, accordant ainsi à l’attaquant un accès root sans entrave sur le vélo à distance.
• Les chercheurs ont constaté que, puisque l’attaquant ne doit jamais déverrouiller l’appareil pour démarrer une image modifiée, il n’y a aucune trace de l’accès qu’il a obtenu sur l’appareil. Ce type d’attaque pourrait être mené efficacement par le biais de la chaîne d’approvisionnement.
• Un acteur malveillant pourrait altérer le produit à tout moment, de la construction à la livraison en passant par l’entrepôt, et installer une porte dérobée dans la tablette Android sans que l’utilisateur final puisse le savoir.


Voir les articles précédents

    

Voir les articles suivants