Thought Leadership
Das Advanced Threat Research (ATR) Team von McAfee hat eine neue Schwachstelle im beliebten Fitness Indoor-Fahrrad Peloton Bike+ aufgedeckt.
Die Sicherheitslücke ermöglicht Angreifern, die entweder physischen Zugang zum Bike+ haben oder sich an einem beliebigen Punkt in der Lieferkette Zugang verschaffen, aus der Ferne auf das Tablet des Fahrrads zuzugreifen. Das schließt auch Zugriff auf die Kamera, das Mikrofon und die persönlichen Daten ein – und das alles ohne, dass es Anzeichen dafür gibt, dass das Bike+ manipuliert wurde. Somit würden Nutzer nichts von einem Angriff merken.
Die wichtigsten Ergebnisse zusammengefasst:
- Die Sicherheitsforscher entdeckten einen Fehler im Android Verified Boot (AVB) Prozess, der das Peloton Bike angreifbar macht.
- Das ATR-Team war in der Lage, den Android Verified Boot-Prozess zu umgehen, was bei einem Cyber-Angriff dazu führen kann, dass das Android-Betriebssystem mit physischem Zugriff kompromittiert wird.
- Mit dieser Schwachstelle würde ein bösartiger Angreifer im schlimmsten Fall das Peloton mit einem modifizierten Image booten, um erweiterte Zugriffsrechte zu erlangen. Diese Rechte könnten Angreifer dann nutzen, um eine Reverse Shell einzurichten, die ungehinderten Root-Zugriff auf das Fahrrad aus der Ferne gewährt.
- Die Forscher fanden außerdem heraus, dass Angreifer das Gerät niemals entsperren müssen, um ein modifiziertes Image zu booten, so dass es keine Spuren des Zugriffs gibt. Diese Art von Angriff könnte effektiv über den Lieferkettenprozess erfolgen.
- Cyber-Kriminelle könnten das Produkt an jedem beliebigen Punkt von der Fertigung über das Lager bis hin zur Auslieferung manipulieren und eine Hintertür in das Android-Tablet einbauen, ohne dass der Endbenutzer dies mitbekommt.
Während der COVID-19 Pandemie wurden Peloton-Räder zur Go-to-Lösung für Fitness zu Hause. Mittlerweile setzen 16,7 Millionen Nutzer auf das Bike+ von Peloton, die dem Risiko eines potenziellen Cyber-Angriffs ausgesetzt sind.
www.mcafee.com/de
