Ein Advanced-Threat-Research-(ATR-)Team von McAfee hat eine Sicherheitslücke im Peloton Bike+ identifiziert. Sie soll Angreifern die sich physisch oder an einem beliebigen Punkt in der Lieferkette Zugang verschaffen, aus der Ferne Zugriff auf das Tablet des Fahrrads gewähren. Kamera, Mikrofon und persönliche Daten lassen sich demnach manipulieren, ohne dass es die Besitzer merken.

Konkret entdeckten die Sicherheitsforscher einen Fehler im Android-Verified-Boot-(AVB-)Prozess, der das Peloton Bike angreifbar machen soll. Das ATR-Team hat es geschafft, diesen AVB-Prozess zu umgehen. Bei einem Cyberangriff kann das laut McAfee dazu führen, dass das Android-Betriebssystem über einen fremden Zugriff kompromittiert werden kann.

Ungehinderter Root-Zugriff aus der Ferne

Im schlimmsten Fall könnten Angreifer das Peloton mit einem modifizierten Image booten und sich erweiterte Zugriffsrechte verschaffen. Mit diesen Rechten könnten sie eine Reverse Shell einrichten, die einen ungehinderten Root-Zugriff auf das Fahrrad aus der Ferne ermöglicht. Die Forscher fanden auch heraus, dass Angreifer das Gerät nicht entsperren müssten, um ein modifiziertes Image zu booten. Deshalb gäbe es keine Spuren eines Zugriffs.

Angriffe können laut McAfee über den Lieferkettenprozess erfolgen. Cyberkriminelle könnten das Produkt an beliebigen Punkten im Fertigungsprozess vom Lager bis hin zur Auslieferung manipulieren und eine Hintertür in das Android-Tablet einbauen, ohne dass es die Endbenutzer mitbekommen.

In der Covid-Krise haben sich viele Menschen Peloton-Räder angeschafft, um sich zu Hause fit zu halten. Mittlerweile setzen 16,7 Millionen Nutzer auf das Bike+, laut McAfee sind sie alle dem Risiko eines Cyberangriffs ausgesetzt. (hv)