Les utilisateurs du populaire kit de fitness en salle Peloton ont été invités à vérifier et à mettre à jour leurs systèmes suite à la divulgation d'une faille de sécurité inquiétante dans l'un des modèles de vélos les plus populaires de l'entreprise. Les chercheurs de McAfee ont découvert que le modèle Peloton Bike Plus contenait une vulnérabilité désormais corrigée qui aurait pu permettre aux pirates informatiques de prendre le contrôle total de l'appareil. Cela inclut la surveillance de la caméra vidéo et du microphone du Peloton Bike Plus, ce qui pourrait exposer les utilisateurs au risque de vol d'informations privées.
Norme Android
Peloton, qui jusqu'à récemment proposait également des tapis roulants aux côtés de ses vélos éponymes, a connu une forte augmentation de son activité après les premiers confinements mondiaux de l'année dernière, ce qui en fait une cible potentiellement lucrative pour les pirates. McAfee a noté que malgré les prix élevés des produits de l'entreprise (avec le Peloton Bike Plus à partir de 2,495 2,295 €/XNUMX XNUMX €), l'aspect connectivité et interactivité du vélo est « une tablette Android standard ». Après avoir examiné l'appareil, McAfee a révélé une faille de sécurité au sein de l'écosystème Android qui alimente cette tablette. L'équipe a découvert que le système Peloton Bike+ ne vérifiait pas que le chargeur de démarrage de l'appareil était déverrouillé avant de tenter de démarrer une image personnalisée, ce qui pourrait permettre aux pirates de charger de nouveaux programmes sur le vélo de l'appareil, à l'insu d'un utilisateur.
(Crédit image : Peloton) McAfee dit que cela signifiait qu'un pirate informatique pouvait simplement « se diriger vers l'un de ces appareils installés dans une salle de sport ou une salle de sport » et insérer une clé USB avec un fichier image de démarrage contenant un code. ce qui signifie qu'ils peuvent installer et exécuter n'importe quel programme, modifier des fichiers ou configurer un accès à distance via une porte dérobée sur Internet. Cela aurait pu inclure l'installation d'applications malveillantes déguisées en Netflix et Spotify sur le vélo dans l'espoir que des utilisateurs peu méfiants saisiraient leurs identifiants de connexion ou d'autres informations personnelles. Obtenir de tels niveaux d'accès signifiait également que les pirates auraient pu permettre à la caméra et au microphone du vélo d'espionner l'appareil et toute personne qui l'utilise, et également de décrypter ses communications cryptées avec les différents services cloud et bases de données auxquelles il accède pour intercepter tous les types. d’informations sensibles. information. "En conséquence, un passionné de gym sans méfiance qui monte sur le Peloton Bike+ pourrait risquer de voir ses données personnelles compromises et son entraînement surveillé sans le savoir", a écrit McAfee dans un article de blog annonçant la nouvelle. McAfee affirme avoir divulgué la faille à Peloton une fois qu'elle a été découverte, avec un correctif développé et déployé plus tôt ce mois-ci. Les utilisateurs de Peloton sont encouragés à mettre à jour leur appareil dès que possible et à rester vigilants lorsqu'ils utilisent un produit connecté à Internet.