Peloton Bike Bug bi lahko hekerjem omogočil dostop do videa: kaj morate vedeti

Peloton se je znašel pred še en ogenj za gašenje — tokrat zahvaljujoč trditvam, da je njegovo programsko opremo enostavno vdreti. Čeprav to ni varnostno vprašanje, zaradi katerega bi moral biti vsak uporabnik Pelotona zaskrbljen, vsekakor ne pomaga glede na vse druge slabe PR, ki jih je Peloton prizadel leta 2021.

Aprila letos so poročila Komisije za varnost potrošniških izdelkov opozorila, da Peloton Tread+ ni varen v gospodinjstvih z otroki. CPSC je razkril, da je bilo prijavljenih 39 incidentov, ko so otroke vlekli pod tekaško stezo Tread+ - vključno s tistim, kjer je bil otrok ubit. Peloton se je na poročilo sprva odzval zaničujoče, rekoč, da je Tread+ popolnoma varen in da so se ti izjemni incidenti zgodili zaradi ljudi, ki stroja niso pravilno uporabljali. To (očitno) mnogim ljudem ni ustrezalo in nekaj manj kot mesec dni kasneje Peloton je na koncu izdal odpoklic za Tread in Tread+.

Hitro naprej do junija 2021 in Peloton ima še eno težavo. Glede na novo poročilo podjetja za kibernetsko varnost 

McAfee, osnovno programsko opremo Android, ki poganja Peloton Bike, je mogoče vdreti na način, ki ogrozi osebo, ki jo uporablja. Ko napadalec v Peloton Bike vbrizga zlonamerno kodo, lahko naredi nekaj stvari – kot je npr. posnemanje aplikacije Spotify, ki zgrabi podatke za prijavo osebe, ali nadzorovanje mikrofona/kamere na kolesu za vohunjenje na njih.

Zakaj bi morali (in ne bi) bili uporabniki Pelotona zaradi tega zaskrbljeni

Čeprav se to na videz sliši neverjetno zaskrbljujoče, je srebrna podloga, da je večinoma omejena na model Peloton Bike+ v vrednosti 2.495 $. Za vsakogar, ki uporablja običajno kolo, to ne velja. Poleg tega heker potrebuje fizični dostop na Bike+ prevzeti nadzor nad njim, kot je opisano zgoraj. Razen če se hekerju uspe pritihotapiti v dom nekoga, če ima čas, da uporabi pogon USB za vbrizgavanje kode, in odide, ne da bi ga ujeli, ni treba skrbeti.

Kljub temu bi lahko ta ranljivost imela legitimne posledice za javne prostore, ki uporabljajo Peloton Bike+ – kot je telovadnica ali pisarna. Kot McAfee poudarja, "Napadalec bi lahko preprosto stopil do ene od teh naprav, ki je nameščena v telovadnici ali fitnesu, in izvedel enak napad, pri čemer bi pridobil korenski dostop na teh napravah za kasnejšo uporabo." McAfee opozarja tudi, da se napad lahko prekine kadar koli med postopkom dobavne verige, kar pomeni, da bi lahko prevarantski uslužbenec okužil Bike+ z zlonamerno kodo, preden je poslana stranki.

McAfee je Peloton obvestil o tej ranljivosti 2. marca 2021 in "kmalu," Peloton je izdal posodobitev programske opreme in jo popravil (natančneje, različica programske opreme PTX14A-290). Ugotovljeno je tudi, da je bila Peltonova ekipa "sprejemljiv in odziven na vso komunikacijo," kar je lepa sprememba tempa v primerjavi s tem, kako je obravnaval vprašanje odpoklica v začetku tega leta.

vir: McAfee

Kako Batman's Penguin Design odpravlja problem klasičnega filma Batman

O avtorju