La Peloton Bike + es un equipo potente e inteligente, y también se puede piratear con bastante facilidad. Esto es lo que descubrió un informe de seguridad.
Pelotón se ha enfrentado a otro incendio que apagar, esta vez gracias a las afirmaciones de que su software es fácil de piratear. Si bien no es un problema de seguridad por el que todos los usuarios de Peloton deban preocuparse, ciertamente no ayuda considerando todas las otras malas relaciones públicas con las que Peloton ha sido golpeado en 2021.
En abril de este año, los informes de la Comisión de Seguridad de Productos para el Consumidor advirtieron que Peloton Tread + no era seguro en hogares con niños. La CPSC reveló que se habían informado 39 incidentes de niños arrastrados por debajo de la pista de atletismo de Tread +, incluido uno en el que un niño murió. Peloton inicialmente respondió al informe de manera despectiva, diciendo que el Tread + era perfectamente seguro y que estos incidentes atípicos ocurrieron debido a que las personas no usaban la máquina correctamente. Esto (obviamente) no le sentó bien a muchas personas, y poco menos de un mes después, Peloton terminó emitiendo un retiro para Tread y Tread +.
Avance rápido hasta junio de 2021, y Peloton tiene otro problema que abordar. Según un nuevo informe de la empresa de ciberseguridad McAfee, el software subyacente de Android que alimenta la Peloton Bike puede ser pirateado de una manera que comprometa a la persona que lo usa. Después de que un atacante inyecta un código malicioso en la Peloton Bike, podría hacer un par de cosas, como imitar una aplicación de Spotify que captura la información de inicio de sesión de la persona o controlar el micrófono / cámara de la bicicleta para espiarla.
Por qué los usuarios de Peloton deberían (y no deberían) preocuparse por esto
Si bien esto suena increíblemente preocupante en la superficie, el lado positivo es que se limita principalmente al modelo de $ 2,495 de la Peloton Bike +. Para cualquier persona que utilice la bicicleta normal, esto no se aplica. Además, un pirata informático requiere acceso físico a Bike + para controlarlo como se describe anteriormente. A menos que un hacker logre colarse dentro de la casa de alguien, tenga tiempo para usar una unidad USB para inyectar el código y se vaya sin ser atrapado, no hay nada de qué preocuparse.
Dicho esto, esta vulnerabilidad podría tener consecuencias legítimas para los espacios públicos que usan Peloton Bike +, como un gimnasio o una oficina. Como McAfee Señala, “un atacante podría simplemente acercarse a uno de estos dispositivos que está instalado en un gimnasio o una sala de fitness y realizar el mismo ataque, obteniendo acceso de root en estos dispositivos para su uso posterior”. McAfee también advierte que el ataque podría llevarse a cabo en cualquier momento durante el proceso de la cadena de suministro, lo que significa que un empleado deshonesto podría infectar una Bike + con el código malicioso antes de enviarlo a un cliente.
McAfee informó a Peloton de esta vulnerabilidad el 2 de marzo de 2021, y “poco después de,” Peloton emitió una actualización de software y la parcheó (específicamente, la versión de software PTX14A-290). También se observa que el equipo de Pelton fue “receptivo y receptivo con todas las comunicaciones”, que es un buen cambio de ritmo en comparación con la forma en que manejó el problema del retiro a principios de este año.
Fuente: McAfee