McAfee heeft gemeld dat een beveiligingslek in de Peloton Bike+ met de Android-bijlage en USB-drive hackers in staat zou hebben gesteld malware te installeren om informatie van rijders te stelen.
Volgens een bericht op de blog van McAfee heeft het team dit probleem een paar maanden geleden aan Peloton gemeld en zijn de bedrijven begonnen samen te werken om een patch te ontwikkelen. De patch is sindsdien getest, bevestigd dat hij op 4 juni effectief is en begon vorige week met de uitrol. Doorgaans wachten beveiligingsonderzoekers tot de kwetsbaarheden zijn gepatcht voordat ze het probleem aankondigen.
Door de exploit konden hackers hun eigen software gebruiken die via een USB-stick was geladen om het besturingssysteem Peloton Bike+ te manipuleren. Ze zouden informatie kunnen stelen, internettoegang op afstand kunnen opzetten, nep-apps kunnen installeren om rijders te misleiden om persoonlijke informatie te verstrekken, en meer. Het omzeilen van de codering op de communicatie van de fiets was ook een mogelijkheid, waardoor andere cloudservices en toegang tot databases kwetsbaar werden.
Het grootste risico van deze exploit was voor publieke pelotons, zoals in een gedeelde sportschool, waar hackers gemakkelijker toegang zouden hebben. Maar ook particuliere gebruikers waren kwetsbaar, omdat kwaadwillenden tijdens de bouw en distributie van de fiets toegang konden krijgen tot het systeem. De nieuwe patch lost dit probleem op, maar McAfee waarschuwt dat Peloton Tread-apparatuur - die het niet in zijn onderzoek heeft opgenomen - nog steeds kan worden gemanipuleerd.
Volgens McAfee is het belangrijkste dat Peloton-rijders kunnen doen om hun privacy en veiligheid te beschermen, hun apparaten up-to-date te houden. "Blijf op de hoogte van software-updates van de fabrikant van uw apparaat, vooral omdat ze niet altijd hun beschikbaarheid adverteren." Ze raden gebruikers ook aan "automatische software-updates in te schakelen, zodat u niet handmatig hoeft bij te werken en altijd over de nieuwste beveiligingspatches beschikt."