Peloton Bike Bug อาจทำให้แฮกเกอร์เข้าถึงวิดีโอได้: สิ่งที่คุณต้องรู้

December 20, 2021
ในเทค Peloton

click fraud protection

Peloton ได้พบว่าตัวเองต้องเผชิญกับ อีกไฟที่จะดับ — คราวนี้ต้องขอบคุณการอ้างว่าซอฟต์แวร์นั้นแฮ็คได้ง่าย แม้ว่าจะไม่ใช่ปัญหาด้านความปลอดภัยที่ผู้ใช้ Peloton ทุกคนต้องกังวล แต่ก็ไม่ได้ช่วยอะไรเมื่อพิจารณาว่า PR Peloton ที่ไม่ดีอื่นๆ ทั้งหมดได้รับผลกระทบในปี 2021

ย้อนกลับไปในเดือนเมษายนของปีนี้ รายงานจากคณะกรรมการความปลอดภัยสินค้าอุปโภคบริโภคเตือนว่า Peloton Tread+ ไม่ปลอดภัยในครัวเรือนที่มีเด็ก CPSC เปิดเผยว่ามีรายงาน 39 เหตุการณ์ที่มีเด็กถูกลากไปใต้ลู่วิ่งของ Tread+ รวมถึงเหตุการณ์ที่เด็กถูกฆ่าตาย ในขั้นต้น Peloton ตอบกลับรายงานในลักษณะที่ไม่ใส่ใจ โดยกล่าวว่า Tread+ นั้นปลอดภัยอย่างสมบูรณ์ และเหตุการณ์ผิดปกติเหล่านี้เกิดขึ้นเนื่องจากผู้คนไม่ได้ใช้เครื่องอย่างเหมาะสม สิ่งนี้ (ชัดเจน) ไม่ได้เหมาะกับคนจำนวนมาก และอีกไม่ถึงหนึ่งเดือนต่อมา Peloton ได้ทำการเรียกคืน Tread และ Tread+.

กรอไปข้างหน้าอย่างรวดเร็วถึงมิถุนายน 2021 และ Peloton มีปัญหาอื่นที่ต้องแก้ไข ตามรายงานใหม่จากบริษัทรักษาความปลอดภัยในโลกไซเบอร์ McAfeeซอฟต์แวร์ Android พื้นฐานที่ขับเคลื่อน Peloton Bike สามารถถูกแฮ็กในลักษณะที่ประนีประนอมกับผู้ใช้ หลังจากที่ผู้โจมตีใส่โค้ดที่เป็นอันตรายลงใน Peloton Bike พวกเขาสามารถทำสองสิ่งได้ เช่น เลียนแบบแอพ Spotify ที่ดึงข้อมูลการเข้าสู่ระบบของบุคคลนั้นหรือควบคุมไมโครโฟน/กล้องของ Bike เพื่อสอดแนม กับพวกเขา

ทำไมผู้ใช้ Peloton ควร (และไม่ควร) กังวลเกี่ยวกับเรื่องนี้

แม้ว่าสิ่งนี้จะฟังดูน่าเหลือเชื่อบนพื้นผิว แต่ซับในสีเงินนั้นส่วนใหญ่แล้วจะจำกัดอยู่ที่รุ่น Peloton Bike+ ราคา $2,495 เท่านั้น สำหรับใครก็ตามที่ใช้จักรยานแบบธรรมดาจะไม่มีผลบังคับ นอกจากนี้ แฮ็กเกอร์ต้องการการเข้าถึงทางกายภาพ สู่จักรยาน+ เพื่อควบคุมมันตามที่อธิบายไว้ข้างต้น เว้นเสียแต่ว่าแฮ็กเกอร์จะแอบเข้าไปในบ้านของใครบางคน มีเวลาที่จะใช้ไดรฟ์ USB เพื่อฉีดรหัส และออกไปโดยไม่มีใครถูกจับได้ ก็ไม่มีอะไรต้องกังวลจริงๆ

ที่กล่าวว่า ช่องโหว่นี้อาจส่งผลที่ถูกต้องตามกฎหมายต่อพื้นที่สาธารณะที่ใช้ Peloton Bike+ — เช่น โรงยิมหรือสำนักงาน เนื่องจาก McAfee ชี้ให้เห็น, "ผู้โจมตีสามารถเดินขึ้นไปที่อุปกรณ์เหล่านี้ที่ติดตั้งในโรงยิมหรือห้องฟิตเนสและทำการโจมตีแบบเดียวกัน เข้าถึงรูทบนอุปกรณ์เหล่านี้เพื่อใช้ในภายหลัง" McAfee ยังเตือนด้วยว่าการโจมตีสามารถดึงออกได้ทุกเมื่อระหว่างกระบวนการซัพพลายเชน ซึ่งหมายความว่าพนักงานที่โกงอาจติด Bike+ ด้วยรหัสที่เป็นอันตรายก่อนที่จะส่งให้ลูกค้า

McAfee แจ้ง Peloton ถึงช่องโหว่นี้เมื่อวันที่ 2 มีนาคม 2021 และ "ไม่นานหลังจากที่," Peloton ออกซอฟต์แวร์อัพเดตที่แพตช์แล้ว (โดยเฉพาะซอฟต์แวร์เวอร์ชัน PTX14A-290) ยังตั้งข้อสังเกตอีกว่าทีมของเพลตันเคยเป็น "เปิดกว้างและตอบสนองทุกการสื่อสาร" ซึ่งเป็นการเปลี่ยนจังหวะที่ดี เมื่อเทียบกับวิธีจัดการกับปัญหาการเรียกคืน เมื่อต้นปีนี้

แหล่งที่มา: McAfee

การออกแบบเพนกวินของแบทแมนช่วยแก้ไขปัญหาภาพยนตร์แบทแมนคลาสสิกได้อย่างไร

เกี่ยวกับผู้เขียน