Dane tysięcy użytkowników aplikacji Peloton mogły być w niebezpieczeństwie. Usługa mierzy się z licznymi problemami, które pozwalały potencjalnym cyberprzestępcom na uzyskanie osobistych informacji z urządzeń za pomocą złośliwego oprogramowania – ujawniała firma Check Point Software.
Wraz ze wzrostem popularności sprzętu do ćwiczeń połączonego z internetem, takiego jak powszechnie popularna bieżnia Peloton, pojawia się nowe zmartwienie dotyczące potencjalnych zagrożeń dla bezpieczeństwa. Dotychczas podkreślano wygodę i łączność tych zaawansowanych maszyn do ćwiczeń, jednak nikt nie mierzył się z kwestią bezpieczeństwa danych.
Amerykańska firma Peloton oferująca sprzęt i aplikację do ćwiczeń podczas pandemii COVID-19 wyrosła na prawdziwego giganta. Boom na domowe rozwiązania do utrzymania formy zdaje się nie mieć końca. W opinii ekspertów przyszłość klubów fitness i siłowni może szybko przeniosła się do domów a grupa użytkowników rośnie z roku na rok, co stanowi jeszcze większe wyzwanie. Jednocześnie okazuje się, że aplikacje i sprzęt pobierają bardzo dużo danych osobowych, które pozostają bez kontroli i mogą stanowić wartość dla hakerów. Zawierają bowiem informacje o stanie zdrowia, regularności treningów, miejsca ćwiczeń, dane osobowe…
Tymczasem najnowsza analiza oprogramowania obsługującego aplikację i bieżnię Peloton ujawniła, że sprzęt ten jest narażony na niebezpieczeństwo w związku z brakiem aktualizacji działającego na niej systemu Android. Jak wyjaśniają analitycy Check Pointa, bieżnia działa pod kontrolą systemu Android 10, który w ostatnich latach nie doczekał się łatek dla około 1000 luk! W konsekwencji, urządzenie miało również włączone debugowanie USB, co oznacza, że osoba posiadająca fizyczny dostęp do urządzenia mogła pobrać listę wszystkich zainstalowanych pakietów, a także uzyskać dostęp do systemu, naruszając jego bezpieczeństwo.
Według ekspertów firmy Check Point hakerzy mogą na przykład instalować aplikacje wyglądające jak Netflix lub Spotify i kraść dane logowania użytkowników. Co bardziej niepokojące, zespół ds. cyberbezpieczeństwa był w stanie szpiegować użytkowników za pomocą kamery i mikrofonu, które są zwykle używane do rozmów wideo z innymi użytkownikami.
Informacja o podatnościach została przekazana przez Check Pointa firmie Peleton, która odpowiedziała stanowiskiem: „W Peloton jesteśmy zobowiązani do zapewnienia najwyższego poziomu bezpieczeństwa naszych systemów. Przeanalizowaliśmy zgłoszone problemy i stwierdziliśmy, że spełniają one oczekiwane standardy bezpieczeństwa dla urządzeń opartych na Androidzie. Obawy wyrażone w tym raporcie dotyczą scenariuszy, które wymagają od atakującego fizycznego dostępu do urządzenia. Doceniamy możliwość współpracy ze wszystkimi badaczami bezpieczeństwa i cenimy sobie ich chęć przestrzegania naszych praktyk dotyczących skoordynowanego ujawniania podatności.”