Pengguna Peloton yang populer (terbuka di tab baru) kit kebugaran dalam ruangan telah didesak untuk memeriksa dan memperbarui sistem mereka setelah pengungkapan kelemahan keamanan yang mengkhawatirkan di salah satu model sepeda paling populer perusahaan.
Para peneliti di McAfee menemukan bahwa Peloton Bike Plus (terbuka di tab baru) model berisi kerentanan, sekarang diperbaiki, yang memungkinkan peretas mendapatkan kendali penuh atas perangkat.
Ini termasuk mendapatkan kendali atas kamera video dan mikrofon Peloton Bike Plus, yang berpotensi membuat pengguna berisiko dicuri informasi pribadinya.
Android standar
Peloton, yang juga menawarkan treadmill (terbuka di tab baru) sampai baru-baru ini di samping sepeda eponimnya, melihat lonjakan besar dalam bisnis setelah penguncian global awal tahun lalu, menjadikannya target yang berpotensi menguntungkan bagi para peretas.
McAfee mencatat bahwa meskipun label harga tinggi untuk produk perusahaan (dengan Peloton Bike Plus mulai dari $2.495 (terbuka di tab baru)/ £ 2.295) aspek konektivitas dan interaktivitas sepeda ini adalah, “tablet Android standar”.
Setelah memeriksa perangkat tersebut, McAfee mengungkapkan kelemahan keamanan dalam ekosistem Android yang menjalankan tablet ini. Tim menemukan bahwa sistem Peloton Bike+ tidak memverifikasi bahwa bootloader perangkat tidak terkunci sebelum mencoba mem-boot image kustom – yang memungkinkan peretas memuat program baru di sepeda pengguna tanpa sepengetahuan mereka.
McAfee mengatakan ini berarti bahwa seorang peretas dapat memasukkan kunci USB dengan file gambar boot yang berisi kode berbahaya yang memberi mereka akses root jarak jauh ke sepeda, yang berarti mereka dapat menginstal dan menjalankan program apa pun, memodifikasi file, atau mengatur akses pintu belakang jarak jauh melalui Internet.
Ini bisa termasuk menginstal aplikasi jahat yang menyamar sebagai Netflix dan Spotify ke sepeda dengan harapan pengguna yang tidak menaruh curiga akan memasukkan kredensial login mereka atau informasi pribadi lainnya.
Memperoleh tingkat akses seperti itu juga berarti peretas dapat mengaktifkan kamera dan mikrofon sepeda untuk memata-matai perangkat dan siapa pun yang menggunakannya – dan juga mendekripsi komunikasi terenkripsinya dengan berbagai layanan cloud dan basis data yang diaksesnya untuk mencegat semua jenis informasi sensitif. informasi.
McAfee mengatakan telah mengungkapkan kelemahan tersebut kepada Peloton setelah ditemukan, dengan tambalan yang dikembangkan dan diluncurkan awal bulan ini. Pengguna Peloton didorong untuk memperbarui perangkat mereka sesegera mungkin, dan memastikan mereka tetap waspada saat menggunakan produk apa pun yang terhubung ke internet.
