McAfee a signalé qu'une faille de sécurité Peloton Bike+ avec la pièce jointe Android et la clé USB aurait pu permettre à des pirates d'installer des logiciels malveillants afin de voler les informations des cyclistes.
Selon un article sur le blog de McAfee, l'équipe a signalé ce problème à Peloton il y a quelques mois et les entreprises ont commencé à travailler ensemble pour développer un correctif. Le correctif a depuis été testé, confirmé comme étant efficace le 4 juin et a commencé à être déployé la semaine dernière. Généralement, les chercheurs en sécurité attendent que les vulnérabilités aient été corrigées avant d'annoncer le problème.
L'exploit a permis aux pirates d'utiliser leur propre logiciel chargé via une clé USB pour manipuler le système d'exploitation Peloton Bike+. Ils pourraient voler des informations, configurer un accès Internet à distance, installer de fausses applications pour inciter les passagers à fournir des informations personnelles, etc. Contourner le cryptage des communications du vélo était également une possibilité, rendant vulnérables les autres services cloud et les bases de données consultées.
Le plus grand risque posé par cet exploit concernait les pelotons faisant face au public, comme dans une salle de sport partagée, où les pirates auraient un accès plus facile. Cependant, les utilisateurs privés étaient également vulnérables, car des tiers malveillants pouvaient avoir accès au système tout au long de la construction et de la distribution du vélo. Le nouveau correctif résout ce problème, mais McAfee prévient que l'équipement Peloton Tread - qu'il n'a pas inclus dans ses recherches - pourrait toujours être manipulé.
Selon McAfee, la chose la plus importante que les coureurs du Peloton puissent faire pour protéger leur vie privée et leur sécurité est de garder leurs appareils à jour. "Restez au courant des mises à jour logicielles du fabricant de votre appareil, d'autant plus qu'elles n'annoncent pas toujours leur disponibilité." Ils recommandent également aux utilisateurs "d'activer les mises à jour logicielles automatiques, afin que vous n'ayez pas à mettre à jour manuellement et que vous disposiez toujours des derniers correctifs de sécurité."