McAfee在Peloton产品中发现安全漏洞

软件安全公司McAfee表示，它暴露了PelotonBike+中的一个漏洞，该漏洞允许攻击者通过 USB 端口安装恶意软件并可能监视骑手。

McAfee 的高级威胁研究团队表示，问题源于 Peloton 固定运动 Bike+ 附带的 Android 附件。McAfee 表示，攻击者可以通过端口访问自行车并安装 Netflix 和 Spotify 等流行应用程序的虚假版本，然后欺骗用户输入他们的个人信息。

Peloton Bike+ 在公共场所(例如酒店或健身房)中特别容易受到攻击。

“缺陷在于 Peloton 实际上未能验证操作系统是否已加载，”威胁研究团队负责人 Steve Povolny 说。“最终这意味着他们可以安装恶意软件，他们可以创建特洛伊木马程序并给自己后门进入自行车，甚至访问网络摄像头。”

Povolny 表示，网上有“交互式地图”显示美国的 Peloton 自行车和跑步机，这可以让攻击者轻松找到公共场所的自行车和跑步机，并最终访问用户的帐户。他说，黑客然后可以上传“完全定制的恶意图像”，最终允许他们访问骑手的麦克风、相机和应用程序。

Povolny 说：“你不仅可以监视骑手，而且可能更重要的是，他们的周围环境、敏感信息。”

Peloton 在一份声明中证实，McAfee 的工程师“通过我们的协调漏洞披露计划”警告他们这个问题，并表示他们正在与安全公司合作解决这个问题。迈克菲表示，它在大约三个月前向 Peloton 披露了该漏洞，并在几周内收到了该公司的回复。

“迈克菲向我们报告了一个漏洞，需要直接物理访问 Peloton Bike+ 或 Tread 才能利用该问题，”这家健身器材公司在一份声明中表示。“Peloton 上周还向受影响的设备推送了一项强制性更新，以解决此漏洞。”

专家表示，任何连接到互联网的设备——比如电视、电器甚至玩具——都可能成为黑客获取你个人数据的一种方式。网络安全专家表示，您应该开启自动软件更新，并为您的家庭网络考虑使用安全软件。

Peloton 上个月初召回了其 Tread+ 和 Tread 跑步机，理由是在多人受伤和一名儿童死亡后出现的安全问题。美国消费品安全委员会(CPSC)在 4 月 17 日发布的“紧急警告”中敦促家长停止使用 Tread+。

“消费品安全委员会的工作人员认为，Peloton Tread+ 会对儿童造成严重的擦伤、骨折和死亡风险，”消费品安全委员会的一份声明中写道。“鉴于多起有关儿童被困、别住和拉到产品后滚轮下方的报告，消费品安全委员会敦促家里有孩子的消费者立即停止使用该产品。”

Peloton 最初斥责美国消费品安全委员会的声明，称其对所有家长的建议“不准确且具有误导性”。该公司后来为没有立即遵循该机构的建议而道歉。

在 5 月 5 日召回近 125,000 台跑步机后，Peloton 更新了其软件，要求用户输入代码以重新启动皮带，如果皮带静止不动长达 45 秒。