Peloton Bike Bug kunne give hackere adgang til video: Hvad du behøver at vide

Peloton har stået overfor endnu en brand at slukke — denne gang takket være påstande om, at dets software er let at hacke. Selvom det ikke er et sikkerhedsproblem, som enhver Peloton-bruger behøver at være bekymret over, hjælper det bestemt ikke i betragtning af alle de andre dårlige PR, som Peloton er blevet ramt af i 2021.

Tilbage i april i år advarede rapporter fra Consumer Product Safety Commission, at Peloton Tread+ ikke var sikkert i husholdninger med børn. CPSC afslørede, at 39 hændelser var blevet rapporteret om børn, der blev slæbt under Tread+'s løbebane - inklusive en, hvor et barn blev dræbt. Peloton reagerede oprindeligt på rapporten på en afvisende måde og sagde, at Tread+ var helt sikker, og at disse afvigende hændelser skete på grund af, at folk ikke brugte maskinen korrekt. Dette passede (åbenbart) ikke rigtigt hos mange mennesker, og lidt under en måned senere, Peloton endte med at udstede en tilbagekaldelse for Tread og Tread+.

Spol frem til juni 2021, og Peloton har endnu et problem at løse. Ifølge en ny rapport fra cybersikkerhedsfirmaet 

McAfee, kan den underliggende Android-software, der driver Peloton Bike, hackes på en måde, der kompromitterer den person, der bruger den. Efter at en angriber injicerer ondsindet kode til Peloton Bike, kunne de gøre et par ting - som f.eks. efterligne en Spotify-app, der fanger personens login-oplysninger eller kontrollerer cyklens mikrofon/kamera for at spionere på dem.

Hvorfor Peloton-brugere bør (og ikke bør) være bekymrede over dette

Selvom dette lyder utrolig bekymrende på overfladen, er sølvbeklædningen, at den for det meste er begrænset til $2.495-modellen af ​​Peloton Bike+. For alle, der bruger den almindelige cykel, gælder dette ikke. Desuden kræver en hacker fysisk adgang til Bike+ at tage kontrol over det som beskrevet ovenfor. Medmindre det lykkes en hacker at snige sig ind i nogens hjem, har tid til at bruge et USB-drev til at indsprøjte koden og forlade uden at blive fanget, er der ikke rigtig noget at bekymre sig om.

Når det er sagt, kan denne sårbarhed have legitime konsekvenser for offentlige rum, der bruger Peloton Bike+ - såsom et fitnesscenter eller kontor. Som McAfee påpeger, "en angriber kunne simpelthen gå hen til en af ​​disse enheder, der er installeret i et fitnesscenter eller et fitnessrum og udføre det samme angreb og få root-adgang på disse enheder til senere brug." McAfee advarer også om, at angrebet kan blive trukket ud på et hvilket som helst tidspunkt i forsyningskædeprocessen, hvilket betyder, at en useriøs medarbejder kan inficere en Bike+ med den ondsindede kode, før den sendes til en kunde.

McAfee informerede Peloton om denne sårbarhed den 2. marts 2021, og "kort efter," Peloton udsendte en softwareopdatering, da den patchede den (specifikt softwareversion PTX14A-290). Det er også bemærket, at Peltons hold var "receptiv og lydhør med al kommunikation," hvilket er et godt temposkift sammenlignet med, hvordan den håndterede tilbagekaldelsesproblemet tidligere i år.

Kilde: McAfee

Hvordan Batman's Penguin Design løser et klassisk Batman-filmproblem

Om forfatteren