廣為人知的 Peloton Bike+ 和 Peloton Tread 運動設備隱含一個安全漏洞，可使用戶面臨廣泛攻擊，從憑證的盜竊到非法錄像。

根據 McAfee 高級威脅研究團隊（Advanced Threat Research，ATR）的研究，此漏洞允許駭客獲得對 Peloton 設備上觸控屏的遠程根權限。觸控屏是用於提供影音串流內容，例如在疫情期間最多人觀看的健身輔導訓練課程。

取得權限後，駭客可以安裝惡意程式，攔截流量與用戶的個人數據（私人資料、年齡、城市、鍛煉歷史），甚至透過網路控制 Bike +或 Tread 的攝像頭和麥克風。還有一些攻擊方式為偽裝成 Netflix 和 Spotify 的惡意應用程式，旨在收集登錄憑證，以便為其他網路攻擊使用。或是錄制人們鍛煉時的樣子，供個人使用或在網暗網出售。騷擾性攻擊也是可以被實行的，比如用替換觸控屏上的視頻，甚至將觸控屏完全癱瘓。此外，駭客還可以解密自行車與各種雲服務和數據庫的加密通信，有可能截獲各種敏感的商業和客戶信息。

但 McAfee 指出，駭客需要對健身器材進行物理駭侵，或者在供應鏈的任何一個環節（從建造到交付）進行駭侵才可以實施攻擊，這意味著健身房是最有可能被利用的地方。研究人員解釋，駭客只需插入一個USB，內含有惡意代碼的啟動圖像文件，即可授予他們遠程根權限。

Peloton在其最新版本的固件中發布了一個修補程式。健身房業主應盡快啟動更新。

疫情的爆發推動更多人在家裡鍛煉，從去年 9 月至 12 月底，Peloton 的用戶數量增長了22%，去年底時平臺上有 440 多萬會員。雖沒有跡象表明供應鏈漏洞已被導入系統，但用戶也應該更新他們的固件。

據 Peloton 安全主管 Adrian Stone 指出，McAfee 報告的這個漏洞需要直接對 Peloton Bike+ 或 Tread 進行物理駭侵。與家庭中的所有連接設備一樣，若駭客能夠獲得物理訪問，額外的物理控制和保護措施就變得越來越重要。為了保證 Peloton 會員的資訊安全，他們已與 McAfee 協調。並在 6 月初推送了一個強制更新，每個安裝了更新的設備都會受到保護，不存在這個問題。

參考資料：
https://threatpost.com/peloton-bike-bug-hackers-control/166960/