McAfee har rapporteret, at en Peloton Bike+ sikkerhedssårbarhed med Android-vedhæftningen og USB-drevet kunne have gjort det muligt for hackere at installere malware for at stjæle rytteres oplysninger.
Ifølge et indlæg på McAfees blog rapporterede holdet dette problem til Peloton for et par måneder siden, og virksomhederne begyndte at arbejde sammen om at udvikle en patch. Plastret er siden blevet testet, bekræftet at være effektivt den 4. juni og begyndte at rulle ud i sidste uge. Typisk venter sikkerhedsforskere, indtil sårbarheder er blevet rettet, indtil de annoncerer problemet.
Udnyttelsen gjorde det muligt for hackere at bruge deres egen software indlæst via USB-nøgle til at manipulere Peloton Bike+-operativsystemet. De ville være i stand til at stjæle information, oprette fjernadgang til internettet, installere falske apps for at narre ryttere til at give personlige oplysninger og mere. At omgå krypteringen på cyklens kommunikation var også en mulighed, hvilket gjorde andre cloud-tjenester og tilgåede databaser sårbare.
Den største risiko ved denne udnyttelse var for offentligt vendte pelotoner, såsom i et fælles fitnesscenter, hvor hackere ville have lettere adgang. Private brugere var dog også sårbare, da ondsindede parter kunne have adgang til systemet under hele cyklens konstruktion og distribution. Den nye patch løser dette problem, men McAfee advarer om, at Peloton Tread-udstyr - som det ikke inkluderede i sin research - stadig kunne manipuleres.
Ifølge McAfee er det vigtigste, Peloton-ryttere kan gøre for at beskytte deres privatliv og sikkerhed, at holde deres enheder opdateret. "Hold dig på forkant med softwareopdateringer fra din enhedsproducent, især da de ikke altid vil annoncere deres tilgængelighed." De anbefaler også, at brugerne "slår automatiske softwareopdateringer til, så du ikke behøver at opdatere manuelt og altid har de nyeste sikkerhedsrettelser."