皇冠体育寻求亚洲战略合作伙伴,皇冠代理招募中,皇冠平台开放会员注册、充值、提现、电脑版下载、APP下载。

首页科技正文

皇冠管理端登3手机(www.9cx.net):Peloton Bike+健身装备爆平安破绽

admin2021-09-2967新闻

新2代理网址

www.122381.com)实时更新发布最新最快最有效的新2网址和新2最新网址,包括新2手机网址,新2备用网址,皇冠最新网址,新2足球网址,新2网址大全。

,

McAfee研究职员在Peloton Bike+健身装备中发现1个平安破绽。

Peloton是一家健身装备制造商,产物包罗Peloton Bike、Peloton Bike+和Peloton Tread。McAfee研究职员在Peloton Bike+健身自行车中发现1个平安破绽,攻击者行使该破绽可以完全接受该装备,包罗装备的视频摄像头和麦克风。

安卓系统允许装备使用fastboot boot 下令来启动修改后的镜像,该下令可以在不flash装备的情形下加载新的boot镜像,使装备可以在启动时转化为默认启动软件。新版本的安卓允许开发者将装备处于锁定状态,以防装备加载修改后的启动镜像。如下图所示,fastboot oem device-info 注释装备是锁定的。

Fastboot下令注释Peloton处于锁定状态

当Peloton准确地将装备设定为锁定状态时,McAfee研究职员发现仍然可以加载修悔改的镜像,由于存在破绽可以预防系统验证装备是否处于锁定状态。

皇冠管理端登3手机

皇冠管理端登3手机(www.9cx.net)实时更新发布最新最快最有效的皇冠管理端登3手机网址,包括新2登3手机网址,新2登3备用网址,皇冠登3最新网址,新2足球登3网址,新2网址大全。

研究职员最初的测试启动镜像失败了,是由于其中没有准确操作Peloton的硬件麦,但也证实了可以在Peloton装备上运行修改后的代码。随后,研究职员从装备的OTA 更新中获得了有用的Peloton启动镜像。然后,修改后的含有su下令的正当启动镜像就可以在装备上举行权限提升。

研究职员将修改后的Peloton boot.img导入装备中,然后就可以使用su下令获取装备的root接见权限,如下图所示:

通过修改后的boot镜像获取root权限

Peloton Bike+ 仍然可以正常运行,研究职员获得了提升的权限,可以在装备上运行随便安卓应用。

此外,可能的攻击场景还包罗攻击者在体育馆或健身房的装备上安装后门并提议攻击,获取root权限以供之后使用。下图注释攻击者可以通过pelobuddy.com交互式舆图来辅助定位要攻击的Peloton装备。

通过pelobuddy.com交互式舆图找到要攻击的Peloton装备

McAfee称已将联动讲述给了Peloton,Peloton也在PTX14A-290软件版本中修复了该破绽,不再系统中使用 boot 下令。

更多手艺细节参见:https://www.mcafee.com/blogs/other-blogs/mcafee-labs/a-new-program-for-your-peloton-whether-you-like-it-or-not/

本文翻译自:https://www.bleepingcomputer.com/news/security/peloton-bike-plus-vulnerability-allowed-complete-takeover-of-devices/

网友评论

2条评论
  • 2021-06-27 00:03:10

    新2网址www.9cx.net)实时更新最新最快的新2最新网址、新2代理网址、新2会员网址。提供新2APP下载,新2APP包含新2代理登录线路、新2会员登录线路、新2备用登录线路、新2手机版登录线路、新2皇冠登录线路及网址。

    总觉得你可以更好