McAfee ha segnalato che una vulnerabilità di sicurezza Peloton Bike+ con l'allegato Android e l'unità USB potrebbe aver consentito agli hacker di installare malware per rubare le informazioni dei motociclisti.
Secondo un post sul blog di McAfee, il team ha segnalato questo problema a Peloton alcuni mesi fa e le aziende hanno iniziato a collaborare per sviluppare una patch. Da allora la patch è stata testata, ha confermato di essere efficace il 4 giugno e ha iniziato a essere lanciata la scorsa settimana. In genere, i ricercatori di sicurezza aspettano che le vulnerabilità siano state corrette prima di annunciare il problema.
L'exploit ha consentito agli hacker di utilizzare il proprio software caricato tramite chiavetta USB per manipolare il sistema operativo Peloton Bike+. Sarebbero in grado di rubare informazioni, configurare l'accesso remoto a Internet, installare app false per indurre i motociclisti a fornire informazioni personali e altro ancora. Era anche possibile bypassare la crittografia sulle comunicazioni della bici, rendendo vulnerabili altri servizi cloud e database a cui si accedeva.
Il rischio maggiore rappresentato da questo exploit era per i Peloton rivolti al pubblico, ad esempio in una palestra condivisa, a cui gli hacker avrebbero avuto un accesso più facile. Tuttavia, anche gli utenti privati erano vulnerabili, poiché i malintenzionati potevano avere accesso al sistema durante la costruzione e la distribuzione della bicicletta. La nuova patch risolve questo problema, ma McAfee avverte che l'attrezzatura Peloton Tread, che non includeva nella sua ricerca, potrebbe ancora essere manipolata.
Secondo McAfee, la cosa più importante che i motociclisti Peloton possono fare per proteggere la propria privacy e sicurezza è mantenere aggiornati i propri dispositivi. "Rimani aggiornato sugli aggiornamenti software del produttore del tuo dispositivo, soprattutto perché non sempre pubblicizzeranno la loro disponibilità."Raccomandano inoltre agli utenti "di attivare gli aggiornamenti software automatici, in modo da non dover aggiornare manualmente e avere sempre le ultime patch di sicurezza."