Hacker können Peloton-Workouts ausspionieren

Cyber Security News

Benutzer von Peloton-Fahrrädern könnten beim Training ausspioniert werden, so eine neue Untersuchung des Advanced Threat Research-Teams von McAfee.

Das Team entdeckte eine Schwachstelle (CVE-2021-3387) im Touchscreen des 2.495 $ teuren Bike+, die es einem Bedrohungsakteur ermöglicht, das Gerät aus der Ferne zu steuern, ohne in das Betriebssystem des Geräts einzugreifen.

Hacker könnten die Schwachstelle ausnutzen, um bösartige Apps zu installieren, die Netflix oder Spotify vortäuschen, um persönliche Daten und Anmeldedaten zu stehlen.

Die Forscher fanden auch heraus, dass die Schwachstelle bösen Akteuren den Zugriff auf das Mikrofon und die Kamera des Peloton-Bikes ermöglicht, um Benutzer auszuspionieren.

McAfee sagte, dass Fahrräder, die in Hotels und anderen öffentlichen Räumen verwendet werden, am meisten gefährdet sind, weil Hacker physisch auf den Bildschirm zugreifen und ihn mit bösartigem Code infizieren müssen, der auf einem USB-Laufwerk gespeichert ist, um die Schwachstelle auszunutzen.

Das preisgünstigere Peloton Bike ist von der Schwachstelle nicht betroffen, da das Fitnessgerät einen anderen Typ von Touchscreen verwendet.

Aber die Forscher bemerkten: “Weitere Gespräche mit Peloton bestätigten, dass diese Schwachstelle auch auf den Peloton Tread-Fitnessgeräten vorhanden ist, allerdings beschränkte sich der Umfang unserer Untersuchung auf das Bike+.”

Die Schwachstelle wurde in der Software des Peloton-Bikes entdeckt. Nachdem McAfee die Entdeckung mit Peloton geteilt hatte, taten sich die beiden Unternehmen zusammen, um “verantwortungsvoll einen Patch zu entwickeln und herauszugeben”.

Ein obligatorisches Software-Update, das das Problem behebt, wurde Anfang des Monats von Peloton für die Benutzer freigegeben.

Adrian Stone, Head of Global Information Security bei Peloton, sagte: “Diese von McAfee gemeldete Schwachstelle würde einen direkten, physischen Zugang zu einem Peloton Bike+ oder Tread erfordern. Wie bei jedem vernetzten Gerät im Haushalt werden zusätzliche physische Kontrollen und Sicherheitsvorkehrungen immer wichtiger, wenn ein Angreifer physischen Zugriff darauf erlangen kann.

“Um unsere Mitglieder zu schützen, haben wir schnell und in Abstimmung mit McAfee gehandelt. Wir haben Anfang Juni ein obligatorisches Update aufgespielt und jedes Gerät, auf dem das Update installiert ist, ist vor diesem Problem geschützt.”

Der Bericht von McAfee ist das zweite Sicherheitsproblem, von dem Peloton in den letzten zwei Monaten betroffen war. Im Mai veröffentlichte das Unternehmen ein Update, um das Durchsickern von persönlichen Kontoinformationen zu stoppen, einschließlich Alter, Gewicht und Standort der Nutzer.

Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com