Η McAfee ανέφερε ότι μια ευπάθεια ασφαλείας Peloton Bike+ με το συνημμένο Android και τη μονάδα USB θα μπορούσε να επέτρεπε στους χάκερ να εγκαταστήσουν κακόβουλο λογισμικό για να κλέψουν τις πληροφορίες των αναβατών.
Σύμφωνα με μια ανάρτηση στο ιστολόγιο του McAfee, η ομάδα ανέφερε αυτό το ζήτημα στο Peloton πριν από μερικούς μήνες και οι εταιρείες άρχισαν να συνεργάζονται για την ανάπτυξη μιας ενημέρωσης κώδικα. Το έμπλαστρο έχει δοκιμαστεί από τότε, επιβεβαιώθηκε ότι είναι αποτελεσματικό στις 4 Ιουνίου και άρχισε να κυκλοφορεί την περασμένη εβδομάδα. Συνήθως, οι ερευνητές ασφαλείας περιμένουν μέχρι να διορθωθούν τα τρωτά σημεία μέχρι να ανακοινώσουν το ζήτημα.
Το exploit έδωσε τη δυνατότητα στους χάκερ να χρησιμοποιήσουν το δικό τους λογισμικό φορτωμένο μέσω USB thumb drive για να χειριστούν το λειτουργικό σύστημα Peloton Bike+. Θα μπορούσαν να κλέψουν πληροφορίες, να ρυθμίσουν απομακρυσμένη πρόσβαση στο Διαδίκτυο, να εγκαταστήσουν ψεύτικες εφαρμογές για να ξεγελάσουν τους αναβάτες να παρέχουν προσωπικές πληροφορίες και πολλά άλλα. Η παράκαμψη της κρυπτογράφησης στις επικοινωνίες του ποδηλάτου ήταν επίσης μια δυνατότητα, καθιστώντας ευάλωτες άλλες υπηρεσίες cloud και πρόσβαση σε βάσεις δεδομένων.
Ο μεγαλύτερος κίνδυνος που ενέχει αυτή η εκμετάλλευση ήταν για τους Pelotons που αντιμετωπίζουν το κοινό, όπως σε ένα κοινόχρηστο γυμναστήριο, όπου οι χάκερ θα είχαν ευκολότερη πρόσβαση. Ωστόσο, οι ιδιώτες χρήστες ήταν επίσης ευάλωτοι, καθώς τα κακόβουλα μέρη μπορούσαν να έχουν πρόσβαση στο σύστημα σε όλη την κατασκευή και διανομή του ποδηλάτου. Η νέα ενημέρωση κώδικα όντως διορθώνει αυτό το πρόβλημα, αλλά η McAfee προειδοποιεί ότι ο εξοπλισμός Peloton Tread - τον οποίο δεν περιλάμβανε στην έρευνά του - θα μπορούσε να υποστεί χειραγώγηση.
Σύμφωνα με την McAfee, το πιο σημαντικό πράγμα που μπορούν να κάνουν οι αναβάτες Peloton για να προστατεύσουν το απόρρητο και την ασφάλειά τους είναι να κρατούν τις συσκευές τους ενημερωμένες. «Μείνετε ενημερωμένοι για ενημερώσεις λογισμικού από τον κατασκευαστή της συσκευής σας, ειδικά επειδή δεν θα διαφημίζουν πάντα τη διαθεσιμότητά τους. Συνιστούν επίσης στους χρήστες να ενεργοποιούν τις αυτόματες ενημερώσεις λογισμικού, ώστε να μην χρειάζεται να κάνετε ενημέρωση με μη αυτόματο τρόπο και να έχετε πάντα τις πιο πρόσφατες ενημερώσεις κώδικα ασφαλείας."