McAfee har rapportert at en Peloton Bike+ sikkerhetssårbarhet med Android-vedlegget og USB-stasjonen kunne ha tillatt hackere å installere skadelig programvare for å stjele syklistenes informasjon.
I følge et innlegg på McAfees blogg rapporterte teamet dette problemet til Peloton for noen måneder siden, og selskapene begynte å jobbe sammen for å utvikle en oppdatering. Patchen har siden blitt testet, bekreftet å være effektiv 4. juni, og begynte å rulle ut forrige uke. Vanligvis venter sikkerhetsforskere til sårbarhetene er rettet til de kunngjør problemet.
Utnyttelsen gjorde det mulig for hackere å bruke sin egen programvare lastet via USB-minnepinne for å manipulere Peloton Bike+-operativsystemet. De ville være i stand til å stjele informasjon, sette opp ekstern internettilgang, installere falske apper for å lure ryttere til å oppgi personlig informasjon og mer. Å omgå krypteringen på sykkelens kommunikasjon var også en mulighet, noe som gjorde andre skytjenester og tilgang til databaser sårbare.
Den største risikoen som denne utnyttelsen utgjør, var for offentlige pelotons, for eksempel i et delt treningsstudio, hvor hackere ville ha lettere tilgang. Private brukere var imidlertid også sårbare, ettersom ondsinnede parter kunne ha tilgang til systemet gjennom hele sykkelens konstruksjon og distribusjon. Den nye oppdateringen løser dette problemet, men McAfee advarer om at Peloton Tread-utstyr – som det ikke inkluderte i forskningen – fortsatt kan manipuleres.
Ifølge McAfee er det viktigste Peloton-ryttere kan gjøre for å beskytte personvernet og sikkerheten å holde enhetene sine oppdatert. "Hold deg oppdatert på programvareoppdateringer fra enhetsprodusenten din, spesielt siden de ikke alltid annonserer tilgjengeligheten deres." De anbefaler også at brukere "slår på automatiske programvareoppdateringer, slik at du ikke trenger å oppdatere manuelt og alltid ha de nyeste sikkerhetsoppdateringene. «