Peloton Bike
Peloton Bike
Bildquelle: Andrew "Donovan" Valdivia

Peloton Bike+: McAfee entdeckt Schwachstellen, die root Zugriff erlauben

McAfee hat entdeckt, dass der Bootloader des Peloton Bike+ quasi offen ist. Damit war es möglich beliebige Software auf das Gerät zu spielen.

Die Sicherheitsexperten Sam Quinn und Mark Bereza von McAfee haben kürzlich entdeckt, dass das verbaute Android Tablet des Bike+ nicht prüft, ob dessen Bootloader entsperrt ist. Damit war es ihnen möglich, beliebige Software auf das Gerät zu spielen. Das Problem wurde am 4. Juni 2021 von Peloton durch ein Update behoben.

Der praktisch offene Bootloader wirkt erst einmal weniger kritisch. Auch weil es zum Ausnutzen der Lücke notwendig ist, physischen Zugang zum Peloton Bike+ zu haben. Aber mit dem Hintergrund, dass das Bike+ über 2500 Euro kostet, wird es auch häufig in Fitnessstudios oder Hotels eingesetzt. Damit wird es schon wieder ernster. Auch sind in das Gerät Kamera und Mikrofon eingebaut.

Sicherheitslücke im Bootloader des Peloton Bike+

Der Bootloader des integrierten Android Tablet des Peloton Bike+ prüft bei der Installation einer neuen Firmware nicht, ob diese unmodifiziert ist. Normalerweise verhindert der Sicherheitsmechanismus Android Verified Boot (AVB) genau das, wenn der Bootloader gesperrt ist. Das bedeutet, dass die Sicherheitsforscher von McAfee das Gerät rooten und auch beliebige weitere Software in das Firmwareimage einschleusen konnten. Die Installation des modifizierten Firmwareupdates kann leicht mit einem Computer oder Android-Smartphone per USB durchgeführt werden. Damit ließen sich zum Beispiel Keylogger oder andere Schadsoftware integrieren, um beliebige Zugangsdaten abzugreifen oder den Nutzer heimlich zu filmen. Das folgende Video zeigt, wie einfach es ist, eine modifizierte Firmware auf dem Bike+ zu starten.

Umgang mit Sicherheitslücken bei Peloton fragwürdig

Bereits in Mai 2021 wurde eine schwere Sicherheitslücke in der API von Peloton aufgespürt, die es einem Angreifer erlaubte, sensible Daten beliebiger Nutzer abzugreifen. Der Hersteller reagierte damals nicht innerhalb der vom Sicherheitsforscher Jan Masters gesetzten Frist von 90 Tagen. Peloton hatte zunächst nur dafür gesorgt, dass die sensiblen Daten nur noch zahlenden Abokunden zugänglich waren. Weitere Details finden sich im Blogpost von Jan Masters.

Tarnkappe.info

Über

honeybee schreibt seit Ende 2020 für die Tarnkappe. Der Einstieg war ein Reverse Engineering Artikel über die Toniebox. Die Biene liebt es, Technik aller Art in ihre Bestandteile zu zerlegen. Schraubendreher und Lötkolben liegen immer in Reichweite. Themen wie Softwareentwicklung, Reverse Engineering, IT-Security und Hacking sind heiß geliebt.