Les problèmes surviennent après que le groupe de cybersécurité « Pen Test Partners » ait déclaré en mai qu’ils avaient découvert une vulnérabilité dans le logiciel de vélo Peloton plus tôt dans l'année. Celle-ci permettrait à des utilisateurs non authentifiés d'exploiter l'API de Peloton, le logiciel qui permet la communication entre les vélos et les serveurs de l'entreprise.
Selon l’entreprise de sécurité logicielle McAfee, une vulnérabilité de cybersécurité dans certains produits de vélo Peloton peut permettre aux pirates d'installer des logiciels malveillants et potentiellement d'espionner les cyclistes. La vulnérabilité signalée par McAfee nécessiterait un accès physique direct à un vélo Peloton.
Des membres de l'équipe de recherche avancée sur les menaces de McAfee ont déclaré que le logiciel malveillant pouvait être installé via un port USB à partir d'une pièce jointe Android pour le Peloton Bike+, grâce auquel les pirates pourraient installer de fausses versions d'applications comme Netflix et Spotify pour recueillir des informations personnelles d’utilisateurs.
En conséquence, un amateur de gym sans méfiance faisant un tour sur le Peloton Bike+ pourrait risquer de voir ses données personnelles compromises et son entraînement surveillé sans le savoir. Aussi, un acteur malveillant pourrait altérer le produit à tout moment, de la construction à l'entrepôt en passant par la livraison, en installant une porte dérobée dans la tablette Android sans que l'utilisateur final ne puisse en douter.
McAfee a ajouté que les vélos d'exercice de Peloton situés dans les salles de sports publics sont plus vulnérables aux attaques de cybersécurité. Elle a, notamment, déclaré qu'avec la vulnérabilité le pire des scénarios possible impliquerait un agent malveillant démarrant le Peloton avec une image modifiée pour obtenir des privilèges élevés, puis d'exploiter ces privilèges pour établir un reverse-shell, accordant à l'attaquant un accès root sans restriction sur le vélo à distance.
Les chercheurs ont découvert que, puisque l'attaquant n'a jamais à déverrouiller l'appareil pour démarrer une image modifiée, il n'y aurait aucune trace d'un accès qu'ils auraient obtenu sur l’appareil, l’équipe McAfee a déclaré aussi que ce type d'attaque pourrait être efficacement livré via le processus de supply chain.
McAfee a déclaré à NBC News qu'il avait informé Peloton du problème de cybersécurité il y a trois mois et que la société de produits d'exercice avait répondu dans quelques semaines.
Peloton a déclaré qu'elle et McAfee avaient travaillé ensemble et en privé pour enquêter sur le problème, conformément au "processus de sécurité standard" de Peloton.
Peloton a résolu le problème dans le délai de divulgation standard et chaque appareil sur lequel la mise à jour est installée est protégé contre ce problème.
Un porte-parole de Peloton a communiqué que l'identification des vulnérabilités en soi n’est pas une violation, aucun logiciel n'est à l'abri des bugs, et qu'ils visent à enquêter de manière responsable sur les vulnérabilités signalées qu'ils jugent légitimes.