Schwachstellen bei Peloton Bike+: McAfee entdeckt Sicherheitslücken im Bootloader

Peloton Bike+: McAfee entdeckt Schwachstellen, die root Zugriff erlauben

Die Sicherheitsexperten Sam Quinn und Mark Bereza von McAfee haben kürzlich eine schwerwiegende Sicherheitslücke im Peloton Bike+ entdeckt. Dabei handelt es sich um den Bootloader des integrierten Android Tablets · der bei der Installation einer neuen Firmware nicht überprüft · ob diese unmodifiziert ist. Somit war es den Sicherheitsforschern möglich beliebige Software auf das Gerät zu spielen da der Bootloader praktisch offen stand. Peloton hat das Problem jedoch durch ein Update am 4. Juni 2021 behoben.



Zugang zu sensiblen Daten durch physischen Zugriff möglich


Zwar wirkt diese Sicherheitslücke auf den ersten Blick nicht sehr kritisch, da ein physischer Zugriff auf das Gerät notwendig ist um die Lücke auszunutzen. Allerdings wird das Peloton Bike+ oft in öffentlichen Einrichtungen wie Fitnessstudios oder Hotels verwendet, da es über 2500 Euro kostet. In diesem Kontext wird das Problem ernster, da es dadurch potenziell einem größeren Nutzerkreis ausgesetzt ist. Zudem sind in das Gerät Kamera und Mikrofon integriert was bei unautorisiertem Zugriff auf sensible Daten oder persönliche Informationen der Nutzer ermöglichen kann.



Root Zugriff und Schadsoftware möglich


Die Sicherheitsforscher von McAfee konnten aufgrund des offenen Bootloaders das Gerät rooten und beliebige weitere Software in das Firmwareimage einschleusen. Die Installation des modifizierten Firmwareupdates kann leicht per USB mit einem Computer oder Android-Smartphone durchgeführt werden. Dadurch können Schadprogramme wie Keylogger oder andere Malware integriert werden um beliebige Zugangsdaten abzugreifen oder den Nutzer heimlich zu filmen.



Peloton reagiert nicht zeitnah auf Sicherheitslücken


Diese Sicherheitslücke ist nicht die erste die bei Peloton entdeckt wurde. Im Mai 2021 wurde bereits eine schwere Sicherheitslücke in der API von Peloton aufgespürt die es einem Angreifer erlaubte, sensible Daten beliebiger Nutzer abzugreifen. Der Hersteller reagierte nicht innerhalb der vom Sicherheitsforscher Jan Masters gesetzten Frist von 90 Tagen. Peloton hatte zunächst nur dafür gesorgt – dass die sensiblen Daten nur noch zahlenden Abokunden zugänglich waren.




Zuletzt aktualisiert am Uhr





Kommentare

: Sicherheitslücken bei Peloton Bike+ erfordern mehr Aufmerksamkeit
Insgesamt verdeutlichen diese Sicherheitslücken. Dass Peloton seine Sicherheitsmaßnahmen optimieren sollte. Besonders bei einem Gerät · welches in öffentlichen Einrichtungen eingesetzt wird und als teure Investition gilt · sollten bessere Prüfmechanismen implementiert werden. Auch eine zeitnahe Reaktion auf entdeckte Sicherheitslücken ist essenziell um die Privatsphäre und persönlichen Daten der Nutzer zu schützen.


Anzeige