Peloton Bike+ Bug gibt Hackern die komplette Kontrolle

Cyber Security News

Ein Angreifer mit anfänglichem physischen Zugang (z. B. in einem Fitnessstudio) könnte Root-Zugriff auf das interaktive Tablet erlangen, was eine Fülle von Szenarien für Fernangriffe ermöglicht.

Die beliebten Peloton Bike+ und Peloton Tread Trainingsgeräte enthalten eine Sicherheitslücke, die Fitnessstudio-Benutzer einer Vielzahl von Cyberangriffen aussetzen könnte, vom Diebstahl von Zugangsdaten bis hin zu heimlichen Videoaufnahmen.

Nach Recherchen des Advanced Threat Research (ATR)-Teams von McAfee würde der Fehler (keine CVE verfügbar) einem Hacker erlauben, Remote-Root-Zugriff auf das “Tablet” des Peloton zu erlangen. Das Tablet ist der Touchscreen, der auf den Geräten installiert ist, um interaktive und Streaming-Inhalte zu liefern, wie z. B. das motivierende Workout-Coaching, das jedem bekannt sein wird, der während der Pandemie Fernsehwerbung gesehen hat.

Von dort aus könnte ein fleißiger Hacker Malware installieren, den Datenverkehr und die persönlichen Daten der Benutzer abfangen und sogar die Kamera und das Mikrofon des Bike+ oder Tread über das Internet steuern.

Einige der Angriffsszenarien umfassen das Hinzufügen von bösartigen Apps, die als Netflix und Spotify getarnt sind, um Anmeldedaten zu sammeln, die dann für andere Cyberangriffe verwendet werden können. Oder jemand könnte das Training von Personen für den persönlichen Gebrauch aufzeichnen oder in den dunkleren Ecken des Internets zum Verkauf anbieten.

Auch lästige Angriffe sind möglich, wie z. B. das Ersetzen von Inhalten durch vom Angreifer kontrollierte Videos oder sogar das komplette Ausschalten des Tablets. Außerdem könnten Angreifer die verschlüsselte Kommunikation des Fahrrads mit den verschiedenen Cloud-Diensten und Datenbanken, auf die es zugreift, entschlüsseln und so möglicherweise alle Arten von sensiblen Geschäfts- und Kundendaten abfangen.

Allerdings gibt es einen Haken: Ein Angreifer bräuchte entweder physischen Zugang zu den Trainingsgeräten oder Zugriff während eines beliebigen Punktes in der Lieferkette (von der Konstruktion bis zur Auslieferung), so McAfee – was bedeutet, dass Fitnessstudios der wahrscheinlichste Ort für einen Angriff in der realen Welt sind.

Winziger USB, große Konsequenzen

Der Hack funktioniert folgendermaßen: Ein Angreifer steckt einfach einen winzigen USB-Stick mit einer Boot-Image-Datei ein, die bösartigen Code enthält, der ihm Remote-Root-Zugriff gewährt, erklären die Forscher.

“Da der Angreifer das Fahrrad nicht ab Werk entsperren muss, um das modifizierte Image zu laden, gibt es keine Anzeichen dafür, dass es manipuliert wurde”, so die Analyse von McAfee. “Mit seinem neugewonnenen Zugriff greift der Hacker in das Betriebssystem des Peloton ein und hat nun die Möglichkeit, beliebige Programme zu installieren und auszuführen, Dateien zu verändern oder einen Remote-Backdoor-Zugang über das Internet einzurichten.”

Das Problem besteht darin, dass die Systeme von Bike+ und Tread nicht überprüft haben, ob der Bootloader des Geräts entsperrt ist, bevor versucht wurde, ein benutzerdefiniertes Image zu starten.

“Dies bedeutet, dass der [gear] den Forschern erlaubte, eine Datei zu laden, die nicht für die Peloton-Hardware gedacht war – ein Befehl, der normalerweise auf einem gesperrten Gerät wie diesem verweigert werden sollte”, erklärten die Forscher.

Um das Problem zur Waffe zu machen, luden die Forscher ein Update-Paket für Bike+ direkt von Peloton herunter, das ein gültiges Boot-Image enthielt, das von McAfee einfach modifiziert wurde, um ihnen erhöhte Rechte zu geben.

“Der Verified-Boot-Prozess auf dem Bike erkannte nicht, dass die Forscher das Boot-Image manipuliert hatten, so dass das Betriebssystem ganz normal mit der modifizierten Datei gestartet werden konnte”, heißt es in dem Bericht. “Für einen ahnungslosen Benutzer erschien das Peloton Bike+ völlig normal und zeigte keine Anzeichen für externe Modifikationen oder Hinweise darauf, dass das Gerät kompromittiert worden war. In Wirklichkeit, [we] die vollständige Kontrolle über das Android-Betriebssystem des Fahrrads erlangt.”

Come On, Peloton – You Got This!

Peloton hat einen Patch in der neuesten Version seiner Firmware veröffentlicht. Gym-Besitzer sollten natürlich so schnell wie möglich ein Update veranlassen.

Dank COVID-19, das mehr Menschen dazu bringt, in ihren eigenen vier Wänden zu trainieren, wuchs die Zahl der Peloton-Nutzer zwischen September und Ende Dezember um 22 Prozent, so dass die Plattform zum Jahresende mehr als 4,4 Millionen Mitglieder hatte, heißt es in einem Aktionärsbrief. Es gibt keine Anzeichen dafür, dass irgendwelche Supply-Chain-Exploits in das Ökosystem eingeschleust wurden, aber auch Heimanwender sollten dennoch ihre Firmware aktualisieren.

Laut Adrian Stone, Leiter der globalen Informationssicherheit bei Peloton, “würde diese von McAfee gemeldete Schwachstelle einen direkten, physischen Zugriff auf ein Peloton Bike+ oder Tread erfordern. Wie bei jedem angeschlossenen Gerät im Haushalt werden zusätzliche physische Kontrollen und Schutzmaßnahmen immer wichtiger, wenn ein Angreifer physischen Zugriff darauf erlangen kann. Um unsere Mitglieder zu schützen, haben wir schnell und in Abstimmung mit McAfee gehandelt. Wir haben Anfang Juni ein obligatorisches Update aufgespielt und jedes Gerät, auf dem das Update installiert ist, ist vor diesem Problem geschützt.”

Ob das System auf dem neuesten Stand ist, können Anwender direkt vom Tablet aus prüfen und gegebenenfalls ein Upgrade anstoßen.

Die Nachricht kommt auf den Fersen einer Enthüllung im Mai, dass die Peloton-API, die für das Hochladen von Daten von Fahrrädern auf die Server von Peloton verantwortlich ist, das private Profil, Alter, Stadt, Trainingsverlauf und mehr von Mitgliedern preisgab. Der Sicherheitsforscher Jan Masters von Pen Test Partners hatte entdeckt, dass ein Fehler es jedem erlaubt, die privaten Kontodaten der Nutzer direkt von den Peloton-Servern abzugreifen, unabhängig davon, ob die Profile auf privat eingestellt sind.

Nehmen Sie an Threatposts “Tipps und Taktiken für eine bessere Bedrohungsjagd” teil – einer LIVE-Veranstaltung am Mi., 30. Juni um 14:00 Uhr ET in Zusammenarbeit mit Palo Alto Networks. Erfahren Sie von den Experten der Unit 42 von Palo Alto, wie Sie Bedrohungen am besten aufspüren und wie Sie die Automatisierung zur Unterstützung nutzen können. HIER kostenlos registrieren

[Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/06/16071606/Peloton-Bike-e1623842181814.jpg]

Einige Teile dieses Artikels stammen aus:
threatpost.com