McAfee har rapporterat att en säkerhetsrisk i Peloton Bike+ med Android-tillbehör och USB-enhet kunde ha gjort det möjligt för hackare att installera skadlig programvara för att stjäla förares information.
Enligt ett inlägg på McAfees blogg rapporterade teamet detta problem till Peloton för några månader sedan och företagen började arbeta tillsammans för att utveckla en patch. Plåstret har sedan dess testats, bekräftats vara effektivt den 4 juni och började rullas ut förra veckan. Säkerhetsforskare väntar vanligtvis tills sårbarheter har åtgärdats tills de tillkännager problemet.
Utnyttjandet gjorde det möjligt för hackare att använda sin egen programvara laddad via USB-minne för att manipulera operativsystemet Peloton Bike+. De skulle kunna stjäla information, konfigurera fjärråtkomst till internet, installera falska appar för att lura förare att ge personlig information och mer. Att kringgå krypteringen på cykelns kommunikation var också en möjlighet, vilket gjorde andra molntjänster och tillgängliga databaser sårbara.
Den största risken som detta utnyttjande utgjorde var för pelotons som riktade sig till allmänheten, till exempel i ett delat gym, där hackare skulle ha lättare att komma åt. Men privata användare var också sårbara, eftersom illvilliga parter kunde ha tillgång till systemet under hela cykelns konstruktion och distribution. Den nya patchen fixar det här problemet, men McAfee varnar för att Peloton Tread-utrustning – som den inte inkluderade i sin forskning – fortfarande kan manipuleras.
Enligt McAfee är det viktigaste Peloton-åkare kan göra för att skydda sin integritet och säkerhet att hålla sina enheter uppdaterade. "Håll koll på programuppdateringar från din enhetstillverkare, särskilt eftersom de inte alltid kommer att annonsera om deras tillgänglighet." De rekommenderar också att användare "aktiverar automatiska programuppdateringar, så att du inte behöver uppdatera manuellt och alltid ha de senaste säkerhetskorrigeringarna."