Anzeige

Peloton

Bild: Tada Images / Shutterstock.com

Das Advanced Threat Research (ATR) Team von McAfee hat eine neue Schwachstelle im beliebten Fitness Indoor-Fahrrad Peloton Bike+ aufgedeckt.

Die Sicherheitslücke ermöglicht Angreifern, die entweder physischen Zugang zum Bike+ haben oder sich an einem beliebigen Punkt in der Lieferkette Zugang verschaffen, aus der Ferne auf das Tablet des Fahrrads zuzugreifen. Das schließt auch Zugriff auf die Kamera, das Mikrofon und die persönlichen Daten ein – und das alles ohne, dass es Anzeichen dafür gibt, dass das Bike+ manipuliert wurde. Somit würden Nutzer nichts von einem Angriff merken.

Die wichtigsten Ergebnisse zusammengefasst: 

  • Die Sicherheitsforscher entdeckten einen Fehler im Android Verified Boot (AVB) Prozess, der das Peloton Bike angreifbar macht.
  • Das ATR-Team war in der Lage, den Android Verified Boot-Prozess zu umgehen, was bei einem Cyber-Angriff dazu führen kann, dass das Android-Betriebssystem mit physischem Zugriff kompromittiert wird.
  • Mit dieser Schwachstelle würde ein bösartiger Angreifer im schlimmsten Fall das Peloton mit einem modifizierten Image booten, um erweiterte Zugriffsrechte zu erlangen. Diese Rechte könnten Angreifer dann nutzen, um eine Reverse Shell einzurichten, die ungehinderten Root-Zugriff auf das Fahrrad aus der Ferne gewährt.
  • Die Forscher fanden außerdem heraus, dass Angreifer das Gerät niemals entsperren müssen, um ein modifiziertes Image zu booten, so dass es keine Spuren des Zugriffs gibt. Diese Art von Angriff könnte effektiv über den Lieferkettenprozess erfolgen.
  • Cyber-Kriminelle könnten das Produkt an jedem beliebigen Punkt von der Fertigung über das Lager bis hin zur Auslieferung manipulieren und eine Hintertür in das Android-Tablet einbauen, ohne dass der Endbenutzer dies mitbekommt.

Während der COVID-19 Pandemie wurden Peloton-Räder zur Go-to-Lösung für Fitness zu Hause. Mittlerweile setzen 16,7 Millionen Nutzer auf das Bike+ von Peloton, die dem Risiko eines potenziellen Cyber-Angriffs ausgesetzt sind.

www.mcafee.com/de 


Artikel zu diesem Thema

Army Hack
Jun 14, 2021

Hack the Army 3.0: Mehr als 100 Sicherheitslücken in der Infrastruktur des US-Militärs

Zusammen mit Hackerone, eines Sicherheitsplattform für ethisch motivierte Hacker – den so…
Zugriff
Mai 31, 2021

Zeit für eine Neubewertung in Sachen privilegierter Zugriffsrechte

Die Impfungen gegen das Coronavirus laufen - mit dem Ziel, Covid-19 einzudämmen und…

Weitere Artikel

Netflix

Netflix will in Games-Markt einsteigen

Streaming-Gigant Netflix will in den boomenden Markt für Videospiele einsteigen.
Fussball

Fußball-EM: Bot-Attacken auf Sportwetten- und Glücksspielseiten um 96 % gestiegen

Imperva, ein Unternehmen im Bereich Cybersecurity, mit dem Ziel, Daten und alle Zugriffswege auf diese zu schützen, verzeichnete in ganz Europa vor und während der Fußball-Europameisterschaft 2020 einen signifikanten Anstieg des Bot-Traffics auf Sportwetten-…
Streaming

Sportsendungen: Streaming schlägt Pay-TV

Sportsendungen im Pay-TV verlieren an Zuschauern. Die Streaming-Dienste boomen dagegen, wie die Umfrage "Sports Video Trends 2021" im Auftrag des Londoner Videoproduzenten Grabyo zeigt.
Cell Broadcast

Bitkom zur Debatte um Cell-Broadcast

Nach der Hochwasser-Katastrophe in Rheinland-Pfalz und Nordrhein-Westfalen wird in Deutschland die Einführung von Cell-Broadcast für den Versand von Warnnachrichten diskutiert.
Online-Shopping

Olympische Spiele – ein E-Commerce-Killer?

Wenn am Freitag der Fackellauf das Stadion in Tokio erreicht, ist es so weit: Die 32. Olympischen Sommerspiele der Neuzeit sind eröffnet und das Motto lautet erneut: „Dabei sein ist alles.“
Bargeldlos Bezahlen

Mehr Zahlungen ohne Bargeld im Euroraum

Der Trend zum Bezahlen ohne Scheine und Münzen hat in der Corona-Krise in Deutschland und im Euroraum einen weiteren Schub erhalten. Im vergangenen Jahr wurden fast 102 Milliarden Zahlungen (Vorjahr: 98 Mrd) im gemeinsamen Währungsraum bargeldlos abgewickelt,…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.