Die Schwachstelle in Peloton-Fahrrädern ist ein Beispiel für ein weiter verbreitetes Sicherheitsproblem

Cyber Security News

Forscher haben am Dienstag eine Schwachstelle (CVE-2021-33887) im Android Verified Boot (AVB) Prozess für das Peloton Bike+ gefunden, die das System angreifbar macht. (Foto: Ezra Shaw/Getty Images)

Forscher haben am Dienstag einen Fehler (CVE-2021-33887) im Android Verified Boot (AVB) Prozess für das Peloton Bike+ gefunden, der das System angreifbar macht.

In einem Blog-Beitrag sagten die McAfee-Forscher, dass ein Angreifer im schlimmsten Fall das Peloton mit einem modifizierten Image booten könnte, um erhöhte Rechte zu erlangen und diese Rechte dann zu nutzen, um eine Reverse Shell einzurichten, die dem Angreifer uneingeschränkten Root-Zugriff auf das Fahrrad aus der Ferne gewährt. Der Hacker könnte dann das Produkt an jedem beliebigen Punkt von der Konstruktion über das Lager bis hin zur Auslieferung manipulieren und eine Hintertür in das Android-Tablet installieren, das mit dem Fahrrad geliefert wird, ohne dass der Endbenutzer davon weiß. Ein Angreifer könnte auch zu einem in einem Fitnessstudio installierten Peloton-Bike gehen und einen Angriff durchführen, um Root-Zugriff auf diese Geräte für die spätere Verwendung zu erlangen.

Die Untersuchung von McAfee war bedeutsam und von allgemeinem Interesse, weil Peloton wegen Sicherheitsproblemen in den Nachrichten war. Im Frühjahr dieses Jahres gab es eine Auseinandersetzung mit der amerikanischen Consumer Product Safety Commission. Und als Präsident Biden ins Weiße Haus einzog, gab es zahlreiche Geschichten darüber, dass der Secret Service die Trainingsgeräte des neuen Präsidenten sperrte, weil die Peloton-Tablets eingebaute Kameras und Mikrofone haben.

Obwohl aktuell wegen all der hochkarätigen Leute, die Pelotons verwenden, sagte Jack Mannino, CEO bei nVisium, dass das AVB-Problem nicht nur bei Peloton auftritt. Mannino sagte, dass viele Android-Geräte-OEMs unter ähnlichen Fehlern leiden, die in Produktionsgeräten ausgeliefert werden.

“Android bietet Funktionen für Verified Boot, jedoch müssen die Sicherheitseinstellungen des Bootloaders immer noch vom Hersteller richtig konfiguriert werden”, sagte Mannino. “Andernfalls kann ein Angreifer, wie demonstriert wurde, die vollständige Kontrolle über den Bootloader und das Gerät erlangen.”

Ted Driggs, Head of Product bei ExtraHop, fügte hinzu, dass die Kamera, das Mikrofon und der lokale Netzwerkzugriff des Peloton es zu einem besonders attraktiven Ziel für Angreifer machen.

“Die Fahrräder haben nicht nur die richtigen Elemente, um als Dreh- und Angelpunkt zu dienen, um auf andere mit dem Heimnetzwerk verbundene Geräte und von dort aus auf Unternehmensressourcen zuzugreifen, sondern sie können auch zum heimlichen Mithören von virtuellen Meetings und anderen sensiblen Geschäftsgesprächen genutzt werden, die heute vom Home Office aus stattfinden.”

Setu Kulkarni, Vice President, Strategy bei WhiteHat Security, sagte, es sei einfach, diese Forschung mit der Behauptung abzutun, dass das Szenario der Umgehung des AVB ohne physischen Zugriff auf das Gerät nicht möglich sei. Dies sei jedoch ein Fehler, da die von den Forschern unternommenen Schritte leicht in anderen Betriebsumgebungen repliziert werden können, in denen das Basis-Betriebssystem für ein angeschlossenes Gerät Android-basiert ist.

“Was wäre, wenn dies auf einem angeschlossenen Gerät in einem Krankenhaus wäre?”, fragte Kulkarni. “Die Sicherheitsforscher konnten bestätigen, dass es viele Kontrollen gab, aber nicht alle Permutationen wurden getestet. Eine Kombination aus Glück, einer Handvoll leicht verfügbarer Tools und ausführlicher Protokollierung reichte aus, um ein ziemlich abgeschottetes Gerät zu rooten.”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com