Peloton Bike Bug може дати хакерам доступ до відео: що вам потрібно знати

Пелотон зіткнувся з ще один вогонь для гасіння — цього разу завдяки заявам, що його програмне забезпечення легко зламати. Хоча це не проблема безпеки, про яку потрібно хвилюватися кожному користувачеві Peloton, це, безумовно, не допомагає, враховуючи всі інші погані PR Peloton, які постраждали у 2021 році.

Ще у квітні цього року звіти Комісії з безпеки споживчих товарів попереджали, що Peloton Tread+ небезпечний у домогосподарствах з дітьми. CPSC виявив, що було повідомлено про 39 інцидентів, коли дітей затягували під бігову доріжку Tread+, включаючи один, коли загинула дитина. Peloton спочатку відповів на звіт зневажливо, сказавши, що Tread+ був абсолютно безпечним і що ці незвичайні інциденти сталися через те, що люди не використовували машину належним чином. Це (очевидно) не сподобалося багатьом людям, і трохи менше місяця потому, Peloton в кінцевому підсумку видав відкликання для Tread і Tread+.

Перенесіться до червня 2021 року, і Peloton має ще одну проблему, яку потрібно вирішити. Згідно з новим звітом фірми з кібербезпеки 

McAfee, базове програмне забезпечення Android, яке працює на Peloton Bike, може бути зламане таким чином, що компрометує людину, яка його використовує. Після того, як зловмисник впровадить шкідливий код у Peloton Bike, він може зробити кілька речей, наприклад імітація програми Spotify, яка отримує дані для входу в систему або керування мікрофоном/камерою велосипеда, щоб шпигувати на них.

Чому користувачі Peloton повинні (і не повинні) турбуватися про це

Хоча на перший погляд це звучить неймовірно тривожно, срібним моментом є те, що він в основному обмежений моделлю Peloton Bike+ за 2495 доларів. Для тих, хто використовує звичайний велосипед, це не стосується. Крім того, хакеру потрібен фізичний доступ на велосипед+ взяти його під контроль, як зазначено вище. Якщо хакеру не вдасться проникнути в чийсь дім, у нього буде час використати USB-накопичувач, щоб ввести код, і піти, не будучи спійманим, насправді немає про що хвилюватися.

Тим не менш, ця вразливість може мати законні наслідки для громадських місць, які використовують Peloton Bike+, таких як спортзал або офіс. Як McAfee вказує на те, «Зловмисник може просто підійти до одного з цих пристроїв, встановлених у тренажерному залі чи фітнес-залі, і виконати ту ж атаку, отримавши root-доступ на цих пристроях для подальшого використання». McAfee також попереджає, що атака може бути зупинена в будь-який момент під час процесу ланцюга поставок, що означає, що шахрайський співробітник може заразити Bike+ шкідливим кодом, перш ніж він буде відправлений клієнту.

McAfee повідомила Peloton про цю вразливість 2 березня 2021 року та "незабаром після," Peloton випустив оновлення програмного забезпечення і виправили його (зокрема, версія програмного забезпечення PTX14A-290). Також зазначається, що команда Пелтона була "приємний і чуйний до всіх комунікацій", що є приємною зміною темпу порівняно з тим, як він вирішив проблему відкликання на початку цього року.

Джерело: McAfee

Як дизайн пінгвіна Бетмена вирішує проблему класичного фільму про Бетмена

Про автора