Peloton Bike Bug kan gi hackere tilgang til video: Hva du trenger å vite

December 20, 2021
ITeknologi Peloton

click fraud protection

Peloton har blitt møtt med enda en brann å slukke — Denne gangen takket være påstander om at programvaren er enkel å hacke. Selv om det ikke er et sikkerhetsproblem som alle Peloton-brukere trenger å være bekymret for, hjelper det absolutt ikke med tanke på alle de andre dårlige PR-ene som Peloton ble rammet av i 2021.

Tilbake i april i år advarte rapporter fra Consumer Product Safety Commission at Peloton Tread+ ikke var trygt i husholdninger med barn. CPSC avslørte at det var rapportert om 39 hendelser med barn som ble dratt under Tread+s løpebane - inkludert en der et barn ble drept. Peloton reagerte først på rapporten på en avvisende måte og sa at Tread+ var helt trygg og at disse ekstreme hendelsene skjedde på grunn av at folk ikke brukte maskinen riktig. Dette falt (åpenbart) ikke bra for mange mennesker, og litt under en måned senere, Peloton endte opp med å utstede en tilbakekalling for Tread og Tread+.

Spol frem til juni 2021, og Peloton har et annet problem å løse. Ifølge en ny rapport fra cybersikkerhetsfirmaet

McAfee, den underliggende Android-programvaren som driver Peloton Bike kan hackes på en måte som kompromitterer personen som bruker den. Etter at en angriper injiserer ondsinnet kode til Peloton-sykkelen, kan de gjøre et par ting - som f.eks. etterligne en Spotify-app som tar tak i personens påloggingsinformasjon eller kontrollerer sykkelens mikrofon/kamera for å spionere på dem.

Hvorfor Peloton-brukere bør (og ikke bør) være bekymret for dette

Selv om dette høres utrolig bekymringsfullt ut på overflaten, er sølvfôret at det stort sett er begrenset til $2 495-modellen til Peloton Bike+. For alle som bruker vanlig sykkel, gjelder ikke dette. Videre krever en hacker fysisk tilgang til Bike+ å ta kontroll over det som skissert ovenfor. Med mindre en hacker klarer å snike seg inn i hjemmet til noen, har tid til å bruke en USB-stasjon til å injisere koden og dra uten å bli tatt, er det egentlig ikke noe å bekymre seg for.

Når det er sagt, kan denne sårbarheten ha legitime konsekvenser for offentlige rom som bruker Peloton Bike+ - for eksempel et treningsstudio eller kontor. Som McAfee påpeker, "en angriper kan ganske enkelt gå opp til en av disse enhetene som er installert i et treningsstudio eller et treningsrom og utføre det samme angrepet, og få root-tilgang på disse enhetene for senere bruk." McAfee advarer også om at angrepet kan bli trukket av når som helst i forsyningskjedeprosessen, noe som betyr at en useriøs ansatt kan infisere en Bike+ med den ondsinnede koden før den sendes til en kunde.

McAfee informerte Peloton om denne sårbarheten 2. mars 2021, og "kort tid etter," Peloton utstedte en programvareoppdatering som lappet den (spesifikt programvareversjon PTX14A-290). Det er også bemerket at Peltons team var "mottakelig og lydhør med all kommunikasjon," som er en fin temposkifte sammenlignet med hvordan den håndterte tilbakekallingsproblemet tidligere i år.

Kilde: McAfee

Hvordan The Batman's Penguin Design fikser et klassisk Batman-filmproblem

Om forfatteren