Vulnerabilidades en bicicletas de gimnasio Peloton exponen información confidencial de los usuarios

Especialistas en ciberseguridad reportan el hallazgo de una vulnerabilidad crítica en los equipos de ejercicio Peloton Bike+ y Peloton Tread que podría ser explotada para extraer información confidencial de los usuarios, incluyendo registros audiovisuales.

Investigadores de McAfee señalan que la falla permitiría a los actores de amenazas obtener acceso root remoto a la pantalla incluida en estas bicicletas, usualmente empleada con fines de entretenimiento pero que cuenta con avanzadas características, incluyendo conexión WiFi. Si consiguen este acceso, los cibercriminales pueden instalar malware, interceptar tráfico de red e incluso tomar control de la cámara y micrófono instalados.

Un ataque podría resultar desastroso para la seguridad informática y privacidad de cualquier usuario, aunque es necesario mencionar que los actores de amenazas requerirían acceso físico al dispositivo o bien acceder durante alguna etapa de la cadena de suministro hasta que la máquina llegue al usuario final. Esto descarta casi por completo un ataque contra los usuarios que usan estos equipos desde sus hogares, aunque vuelve a los gimnasios un blanco relativamente fácil.

Si un hacker consigue acceso físico al dispositivo, todo lo que tiene que hacer es conectar una unidad USB con una imagen de bootloader cargada de código malicioso con el que podrían acceder como usuario root. Acorde a los expertos de McAfee, “los hackers pueden explotar este acceso para interferir en el funcionamiento convencional del sistema operativo Peloton, lo que les permitirá instalar cualquier programa, modificar archivos e incluso instalar un backdoor para realizar acciones arbitrarias de forma remota”.

Esto es posible gracias a que el sistema operativo empleado por los equipos Peloton no verifica que el bootloader esté desbloqueado antes de que se intente arrancar una imagen diferente a la de la versión de fábrica: “Cualquier dispositivo con conexión debería bloquear esta variante de ataque de forma automática, pero Peloton no estableció protección alguna”, menciona el reporte.

Peloton recibió este informe y lanzó una actualización de firmware para abordar la falla. Los usuarios, y especialmente los propietarios de gimnasios, deberán actualizar sus implementaciones de Peloton a la brevedad.

Tal vez hace un año y medio este problema no habría llamado la atención de nadie, pero Peloton es una de las compañías que mayor crecimiento mostraron durante el confinamiento por coronavirus en E.U., elevando sus ventas en más de 20% entre septiembre y diciembre de 2020. Actualmente la compañía cuenta con alrededor de 4.5 millones de miembros, por lo que el alcance de una potencial campaña de hacking en su contra es más grande que nunca.

Para obtener más información sobre incidentes de hacking, ciberseguridad, ataques de malware y consejos de seguridad, no dude en acceder a las plataformas oficiales del Instituto Internacional de Seguridad Cibernética (IICS).