McAfee在Peloton产品中发现安全漏洞
软件安全公司McAfee表示,它暴露了PelotonBike+中的一个漏洞,该漏洞允许攻击者通过 USB 端口安装恶意软件并可能监视骑手。
McAfee 的高级威胁研究团队表示,问题源于 Peloton 固定运动 Bike+ 附带的 Android 附件。McAfee 表示,攻击者可以通过端口访问自行车并安装 Netflix 和 Spotify 等流行应用程序的虚假版本,然后欺骗用户输入他们的个人信息。
Peloton Bike+ 在公共场所(例如酒店或健身房)中特别容易受到攻击。
“缺陷在于 Peloton 实际上未能验证操作系统是否已加载,”威胁研究团队负责人 Steve Povolny 说。“最终这意味着他们可以安装恶意软件,他们可以创建特洛伊木马程序并给自己后门进入自行车,甚至访问网络摄像头。”
Povolny 表示,网上有“交互式地图”显示美国的 Peloton 自行车和跑步机,这可以让攻击者轻松找到公共场所的自行车和跑步机,并最终访问用户的帐户。他说,黑客然后可以上传“完全定制的恶意图像”,最终允许他们访问骑手的麦克风、相机和应用程序。
Povolny 说:“你不仅可以监视骑手,而且可能更重要的是,他们的周围环境、敏感信息。”
Peloton 在一份声明中证实,McAfee 的工程师“通过我们的协调漏洞披露计划”警告他们这个问题,并表示他们正在与安全公司合作解决这个问题。迈克菲表示,它在大约三个月前向 Peloton 披露了该漏洞,并在几周内收到了该公司的回复。
“迈克菲向我们报告了一个漏洞,需要直接物理访问 Peloton Bike+ 或 Tread 才能利用该问题,”这家健身器材公司在一份声明中表示。“Peloton 上周还向受影响的设备推送了一项强制性更新,以解决此漏洞。”
专家表示,任何连接到互联网的设备——比如电视、电器甚至玩具——都可能成为黑客获取你个人数据的一种方式。网络安全专家表示,您应该开启自动软件更新,并为您的家庭网络考虑使用安全软件。
Peloton 上个月初召回了其 Tread+ 和 Tread 跑步机,理由是在多人受伤和一名儿童死亡后出现的安全问题。美国消费品安全委员会(CPSC)在 4 月 17 日发布的“紧急警告”中敦促家长停止使用 Tread+。
“消费品安全委员会的工作人员认为,Peloton Tread+ 会对儿童造成严重的擦伤、骨折和死亡风险,”消费品安全委员会的一份声明中写道。“鉴于多起有关儿童被困、别住和拉到产品后滚轮下方的报告,消费品安全委员会敦促家里有孩子的消费者立即停止使用该产品。”
Peloton 最初斥责美国消费品安全委员会的声明,称其对所有家长的建议“不准确且具有误导性”。该公司后来为没有立即遵循该机构的建议而道歉。
在 5 月 5 日召回近 125,000 台跑步机后,Peloton 更新了其软件,要求用户输入代码以重新启动皮带,如果皮带静止不动长达 45 秒。