Peloton Bike Bug може да даде на хакерите достъп до видео: Какво трябва да знаете

Пелотон се оказа изправен пред още един пожар за гасене — този път благодарение на твърденията, че неговият софтуер е лесен за хакване. Въпреки че това не е проблем със сигурността, за който всеки потребител на Peloton трябва да се тревожи, това със сигурност не помага, като се има предвид всички други лоши PR, с които Peloton беше засегнат през 2021 г.

Още през април тази година докладите на Комисията за безопасност на потребителските продукти предупреждаваха, че Peloton Tread+ не е безопасен в домакинства с деца. CPSC разкри, че са съобщени 39 инцидента на деца, влачени под пистата за бягане на Tread+ - включително един, при който дете е било убито. Peloton първоначално отговори на доклада по пренебрежителен начин, като каза, че Tread+ е напълно безопасен и че тези извънредни инциденти са се случили поради хора, които не използват правилно машината. Това (очевидно) не се хареса на много хора и малко по-малко от месец по-късно, Peloton в крайна сметка изтегли изтеглянето на Tread и Tread+.

Превъртете напред до юни 2021 г. и Peloton има друг проблем, който трябва да реши. Според нов доклад от фирмата за киберсигурност McAfee, основният софтуер за Android, който захранва Peloton Bike, може да бъде хакнат по начин, който компрометира лицето, което го използва. След като нападател инжектира злонамерен код в Peloton Bike, те биха могли да направят няколко неща - като напр. имитира приложение Spotify, което грабва информацията за влизане на човека или контролира микрофона/камерата на велосипеда, за да шпионира на тях.

Защо потребителите на Peloton трябва (и не трябва) да се тревожат за това

Въпреки че това звучи невероятно тревожно на повърхността, сребърната подплата е, че най-вече е ограничена до модела от 2495 долара на Peloton Bike+. За всеки, който използва обикновения велосипед, това не важи. Освен това хакерът изисква физически достъп към Bike+ да поеме контрола върху него, както е описано по-горе. Освен ако хакер не успее да се промъкне в нечий дом, да има време да използва USB устройство, за да инжектира кода, и да си тръгне, без да бъде хванат, всъщност няма за какво да се притеснявате.

Въпреки това, тази уязвимост може да има законни последици за обществените места, които използват Peloton Bike+ - като фитнес зала или офис. Като McAfee посочва, "нападателят може просто да отиде до едно от тези устройства, което е инсталирано във фитнес зала или фитнес зала, и да извърши същата атака, като получи root достъп на тези устройства за по-късна употреба." McAfee също така предупреждава, че атаката може да бъде прекратена във всеки момент по време на процеса на веригата за доставки, което означава, че измамният служител може да зарази Bike+ със злонамерения код, преди да бъде изпратен на клиент.

McAfee информира Peloton за тази уязвимост на 2 март 2021 г. и "малко след," Peloton издаде софтуерна актуализация, която го закърпи (по-конкретно, версия на софтуера PTX14A-290). Отбелязва се също, че екипът на Пелтън е бил „отзивчиви и отзивчиви с всички комуникации“, което е добра промяна на темпото в сравнение с начина, по който се справи с проблема с изтеглянето по-рано тази година.

Източник: McAfee

Как дизайнът на пингвините на Батман решава проблем с класическия филм за Батман

За автора