Secondo una nuova ricerca del team Advanced Threat Research di McAfee, gli utenti di biciclette Peloton potrebbero essere spiati mentre si allenano.
Il team ha scoperto una vulnerabilità (CVE-2021-3387) nel touchscreen della Bike+ da 2,495 dollari che consente di essere controllata in remoto da un attore di minacce senza alcuna interferenza con il sistema operativo dell’apparecchiatura.
Gli hacker potrebbero sfruttare la falla per installare app dannose che falsificano Netflix o Spotify per rubare dettagli personali e credenziali di accesso.
I ricercatori hanno anche scoperto che la vulnerabilità consentiva ai malintenzionati di accedere al microfono e alla telecamera della bike Peloton per spiare gli utenti.
McAfee ha affermato che le biciclette utilizzate negli hotel e in altri spazi pubblici erano più a rischio perché gli hacker dovevano accedere fisicamente allo schermo e infettarlo con codice dannoso memorizzato su un’unità USB per sfruttare il difetto.
La Peloton Bike più economica non è interessata dal difetto in quanto il dispositivo per il fitness utilizza un diverso tipo di touchscreen.
Ma i ricercatori hanno notato: “Ulteriori conversazioni con Peloton hanno confermato che questa vulnerabilità è presente anche sull’attrezzatura per esercizi Peloton Tread, tuttavia, l’ambito della nostra ricerca era limitato al Bike+”.
Il difetto è stato rilevato nel software della bike Peloton. Dopo che McAfee ha condiviso la scoperta con Peloton, le due società hanno unito le forze per “sviluppare responsabilmente e rilasciare una patch”.
Un aggiornamento software obbligatorio che risolve il problema è stato rilasciato agli utenti da Peloton all’inizio di questo mese.
Adrian Stone, Head of Global Information Security di Peloton, ha dichiarato: “Questa vulnerabilità segnalata da McAfee richiederebbe l’accesso fisico diretto a Peloton Bike+ o Tread. Come con qualsiasi dispositivo connesso in casa, se un utente malintenzionato è in grado di accedervi fisicamente, ulteriori controlli fisici e protezioni diventano sempre più importanti.
“Per proteggere i nostri membri, abbiamo agito rapidamente e in coordinamento con McAfee. Abbiamo inviato un aggiornamento obbligatorio all’inizio di giugno e ogni dispositivo con l’aggiornamento installato è protetto da questo problema”.
Il rapporto di McAfee è il secondo problema di sicurezza a colpire Peloton negli ultimi due mesi. A maggio, la società ha rilasciato un aggiornamento per fermare la fuga di informazioni sull’account personale, inclusi l’età, il peso e la posizione dei suoi utenti.
