McAfee poinformował, że luka w zabezpieczeniach Peloton Bike+ z załącznikiem do systemu Android i dyskiem USB mogła pozwolić hakerom na zainstalowanie złośliwego oprogramowania w celu kradzieży informacji motocyklistów.
Zgodnie z postem na blogu McAfee, zespół zgłosił ten problem firmie Peloton kilka miesięcy temu, a firmy rozpoczęły współpracę nad opracowaniem poprawki. Od tego czasu łatka została przetestowana, potwierdzono skuteczność 4 czerwca i rozpoczęła się w zeszłym tygodniu. Zazwyczaj analitycy bezpieczeństwa czekają, aż luki zostaną załatane, dopóki nie ogłoszą problemu.
Eksploit umożliwił hakerom użycie własnego oprogramowania załadowanego za pomocą pamięci USB do manipulowania systemem operacyjnym Peloton Bike+. Będą mogli kraść informacje, konfigurować zdalny dostęp do Internetu, instalować fałszywe aplikacje, aby nakłonić pasażerów do podania danych osobowych i nie tylko. Możliwe było również ominięcie szyfrowania komunikacji roweru, co narażało inne usługi w chmurze i bazy danych.
Największym ryzykiem związanym z tym exploitem były publiczne peletony, na przykład we wspólnej siłowni, do której hakerzy mieliby łatwiejszy dostęp. Jednak użytkownicy prywatni również byli narażeni, ponieważ złośliwe strony mogły mieć dostęp do systemu podczas budowy i dystrybucji roweru. Nowa łatka naprawia ten problem, ale McAfee ostrzega, że sprzęt Peloton Tread, którego nie uwzględnił w swoich badaniach, nadal może być manipulowany.
Według McAfee najważniejszą rzeczą, jaką kierowcy Peloton mogą zrobić, aby chronić swoją prywatność i bezpieczeństwo, jest aktualizowanie swoich urządzeń. „Bądź na bieżąco z aktualizacjami oprogramowania od producenta urządzenia, zwłaszcza że nie zawsze będą informować o ich dostępności. Zalecają również, aby użytkownicy włączyli automatyczne aktualizacje oprogramowania, dzięki czemu nie trzeba aktualizować ręcznie i zawsze mieć najnowsze poprawki zabezpieczeń. „