Anzeige

Peloton

Bild: Tada Images / Shutterstock.com

Das Advanced Threat Research (ATR) Team von McAfee hat eine neue Schwachstelle im beliebten Fitness Indoor-Fahrrad Peloton Bike+ aufgedeckt.

Die Sicherheitslücke ermöglicht Angreifern, die entweder physischen Zugang zum Bike+ haben oder sich an einem beliebigen Punkt in der Lieferkette Zugang verschaffen, aus der Ferne auf das Tablet des Fahrrads zuzugreifen. Das schließt auch Zugriff auf die Kamera, das Mikrofon und die persönlichen Daten ein – und das alles ohne, dass es Anzeichen dafür gibt, dass das Bike+ manipuliert wurde. Somit würden Nutzer nichts von einem Angriff merken.

Die wichtigsten Ergebnisse zusammengefasst: 

  • Die Sicherheitsforscher entdeckten einen Fehler im Android Verified Boot (AVB) Prozess, der das Peloton Bike angreifbar macht.
  • Das ATR-Team war in der Lage, den Android Verified Boot-Prozess zu umgehen, was bei einem Cyber-Angriff dazu führen kann, dass das Android-Betriebssystem mit physischem Zugriff kompromittiert wird.
  • Mit dieser Schwachstelle würde ein bösartiger Angreifer im schlimmsten Fall das Peloton mit einem modifizierten Image booten, um erweiterte Zugriffsrechte zu erlangen. Diese Rechte könnten Angreifer dann nutzen, um eine Reverse Shell einzurichten, die ungehinderten Root-Zugriff auf das Fahrrad aus der Ferne gewährt.
  • Die Forscher fanden außerdem heraus, dass Angreifer das Gerät niemals entsperren müssen, um ein modifiziertes Image zu booten, so dass es keine Spuren des Zugriffs gibt. Diese Art von Angriff könnte effektiv über den Lieferkettenprozess erfolgen.
  • Cyber-Kriminelle könnten das Produkt an jedem beliebigen Punkt von der Fertigung über das Lager bis hin zur Auslieferung manipulieren und eine Hintertür in das Android-Tablet einbauen, ohne dass der Endbenutzer dies mitbekommt.

Während der COVID-19 Pandemie wurden Peloton-Räder zur Go-to-Lösung für Fitness zu Hause. Mittlerweile setzen 16,7 Millionen Nutzer auf das Bike+ von Peloton, die dem Risiko eines potenziellen Cyber-Angriffs ausgesetzt sind.

www.mcafee.com/de 


Artikel zu diesem Thema

Army Hack
Jun 14, 2021

Hack the Army 3.0: Mehr als 100 Sicherheitslücken in der Infrastruktur des US-Militärs

Zusammen mit Hackerone, eines Sicherheitsplattform für ethisch motivierte Hacker – den so…
Zugriff
Mai 31, 2021

Zeit für eine Neubewertung in Sachen privilegierter Zugriffsrechte

Die Impfungen gegen das Coronavirus laufen - mit dem Ziel, Covid-19 einzudämmen und…

Weitere Artikel

Cybercrime

Cyberattacke auf IT-Dienstleister der Landeshauptstadt Schwerin

Update Mo, 18.10.2021, 16:42 UhrWieder mehr Dienstleistungen der Greifswalder Verwaltung verfügbar.
Android

Heimliches Datensammeln auf Android belegt

Googles mobiles Betriebssystem Android sammelt eifrig Daten seiner Besitzer und teilt diese sogar mit anderen Unternehmen wie Microsoft, LinkedIn und Facebook - insbesondere bei den europäischen Geräten von Samsung, Xiaomi, Huawei und Realme ist dies der…
Cybersecurity

Zscaler tritt der CrowdStrike CrowdXDR Alliance bei

Zscaler erweitert die Integrationen mit CrowdStrike. Durch eine der Integrationen kann Zscaler ZIA™ die Bewertung der Geräte durch CrowdStrike Falcon ZTA (Zero Trust Assessment) für die Konfiguration von Zugriffsrichtlinien nutzen.
Authentifizierung

Kundenauthentifizierung braucht innovative Lösungen

Im Rahmen der IT-Security-Messe it-sa 2021 wurde die neue Studie „CIAM 2022“ im Auftrag vom Identitätsanbieter Auth0 in Zusammenarbeit mit IDG Research Services vorgestellt. Auth0 fasst die wichtigsten Erkenntnisse zusammen.
Cyberattack

Firmen sehen steigende Gefahr durch Cyberattacken

Die Sorge deutscher Firmen vor Cyberangriffen und Datenklau wächst. Jedes dritte Unternehmen geht davon aus, dass das Risiko in der Corona-Pandemie zugenommen hat, in der die Arbeitswelt digitaler geworden ist, wie aus einer am Montag veröffentlichten Studie…
Schloss

Unternehmen nehmen Cyber-Risiko zu lax

Die Mehrheit der Unternehmen hat die Cyber-Risiken durch Drittanbieter nicht im Griff - Risiken, die durch die Komplexität ihrer Geschäftsbeziehungen und Lieferantennetzwerke verschleiert werden.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.