Laut dem Tech- und Sicherheitsmagazin „Bleeping Computer“ haben Forscher von McAffee eine Schwachstelle im Peloton Bike+Fitnessgerät gefunden, die es einem Angreifer ermöglicht hätte, die vollständige Kontrolle über das Gerät zu erlangen, einschließlich seiner Videokamera und seines Mikrofons. Peloton ist der Hersteller von vor allem seit der Pandemie populären Fitnessgeräten, darunter das Peloton Bike, Peloton Bike+ und das Peloton Tread.
In einem Bericht, der von McAfee veröffentlicht wurde, erklären dem Magazin zufolge die Forscher, wie sie ein Peloton Bike+ gekauft haben, um das zugrunde liegende Android-Betriebssystem zu untersuchen und herauszufinden, ob sie einen Weg finden können, das Gerät zu kompromittieren. So fanden sie heraus, dass in dem schicken Bike ein Standard-Android-Tablet verbaut wurde. Grund für die Forscher sich das ganze einmal genauer anzusehen. Denn: Android erlaubt es Geräten, ein modifiziertes Image mit einem speziellen Befehl namens „fastboot boot“ zu booten, der ein neues Boot-Image lädt, ohne das Gerät zu flashen, und es dem Gerät ermöglicht, beim Neustart auf seine Standard-Boot-Software zurückzugreifen. Bei neueren Android-Versionen können laut den Forschern Entwickler das Gerät in einen gesperrten Zustand versetzen, um zu verhindern, dass ein Gerät modifizierte Boot-Images lädt.
Während Peloton das Gerät korrekt in einen gesperrten Zustand versetzte, entdeckten die Forscher von McAfee, dass sie trotzdem ein modifiziertes Image laden konnten, da ein Fehler das System daran hinderte, zu überprüfen, ob das Gerät entsperrt war. Ihr Test-Boot-Image schlug zwar fehl, da es nicht die richtigen Display- und Hardware-Treiber für den Betrieb des Peloton enthielt, zeigte aber, dass modifizierter Code auf dem Gerät ausgeführt werden konnte. Die Forscher erwarben dann ein gültiges Peloton-Boot-Image des Geräts und modifizierten es um es dann auf das Gerät zu laden und so Root Zugriff zu erlangen.
Während das Peloton Bike+ weiterhin wie gewohnt funktionierte und aussah, hatten die Forscher nun erweiterten Zugriff und konnten jede beliebige Android-Anwendung auf dem Gerät ausführen. Laut McAfee meldeten sie die Schwachstelle an Peloton, die den Fehler in der Software-Version „PTX14A-290“ behoben haben, um die Verwendung des Befehls „boot“ auf ihren Systemen nicht mehr zuzulassen.
Worin bestand die Gefahr? Ein Peloton-Bike ist ein Gerät auf dem sensible Daten gespeichert sind oder auf dem Sie sich in Ihre Bank- und E-Mail-Konten einloggen können. Hotels, Kreuzfahrtschiffe, Fitnessstudios und Ferienvermietungen bieten immer häufiger Peloton-Fahrräder und -Laufbänder an, die ihre Gäste während ihres Aufenthalts nutzen können. Wenn ein Angreifer eines dieser Geräte kompromittieren kann, könnte er potenziell Malware installieren, die die Konten von Personen ausspäht, die die Geräte verwenden. Die Angreifer können dann diese Konten verwenden, um zu versuchen, andere Websites mit denselben Anmeldedaten zu kompromittieren. Auch könnten Angreifer Zugriff auf die Kamera und Mikrofon erhalten und diese aus der Ferne steuern bzw. überwachen.
Tipp der Sicherheitsforscher: Es ist wichtig, daran zu denken, dass Pelotons von den Betreibern als Infrastruktur betrachtet werden und sich eher im internen Netzwerk als in einem nach außen nicht abgeschotteten Gastnetzwerk befinden sollen. Ein kompromittiertes Peloton würde keine äußeren Anzeichen von Manipulationen aufweisen, könnte aber, sobald es von einem Angreifer gehackt wurde, dazu verwendet werden, Fernzugriff auf das Netzwerk zu gewähren, ohne dass jemand etwas merkt.
