McAfee hat einen Fehler gefunden, der es Hackern ermöglicht, den Boot-Verifizierungsprozess von Peloton zu umgehen
Foto: Scott Heins/Stringer (Getty Images)Nach der Nachricht, dass die API von Peloton private Benutzerkontodaten offengelegt hat, sagt McAfees Advanced Threat Research-Team Das Bike+ hatte einen gefährlichen Fehler, der es Hackern ermöglichte, unsichtbar und aus der Ferne die Kontrolle über Fahrräder zu erlangen.
Laut McAfee begannen seine Forscher, in den Systemen von Peloton herumzustöbern, als der Trend zum Training zu Hause während der Pandemie aufkam. Dabei stellten sie fest, dass die Bike+-Software nicht überprüfte, ob der Bootloader des Geräts entsperrt war, sodass sie ein benutzerdefiniertes Image hochladen konnten, das nicht für Peloton-Hardware gedacht war. Nach dem Herunterladen eines offiziellen Peloton-Update-Pakets konnten die Forscher dann das eigentliche Boot-Image von Peloton ändern und Root-Zugriff auf die Software des Fahrrads erhalten. Der Android Verified Boot-Prozess konnte nicht erkennen, dass das Image manipuliert wurde.
Oder einfacher ausgedrückt, ein Hacker könnte einen USB-Stick verwenden, um eine gefälschte Boot-Image-Datei hochzuladen, die ihm aus der Ferne Zugriff auf ein Fahrrad gewährt, ohne dass ein Benutzer es merkt. Dieser Hacker kann dann Programme installieren und ausführen, Dateien ändern, Anmeldeinformationen sammeln, verschlüsselten Internetverkehr abfangen oder Benutzer über die Kamera und das Mikrofon des Fahrrads ausspionieren.
Diese Schwachstelle klingt für Heimanwender möglicherweise nicht so schwerwiegend, da sie einen physischen Zugriff auf das Bike+ erfordert. McAfee sagt jedoch, dass ein bösartiger Akteur die Malware zu jedem Zeitpunkt während des Baus, in einem Lager oder während des Lieferprozesses laden könnte. Peloton-Fahrräder sind auch in Fitnessstudios und Fitnesszentren in Hotels und Apartmentgebäuden beliebt – ein Bereich, in den das Unternehmen gerne expandieren möchte. Peloton hat im Dezember 420 Millionen US-Dollar für die Übernahme von Precor eingebüßt, und ein wichtiger Grund dafür ist, dass Precor einen umfangreichen Handel hatte Netzwerk, das Hotels, Firmengelände, Colleges und Apartmentkomplexe umfasst.
Peloton hat das Problem Berichten zufolge am 4. Sicherheitslücke wurde in freier Wildbahn ausgenutzt. Das Unternehmen bestätigte auch, dass der Fehler auch beim Peloton Tread gefunden wurde, der letzten Monat zusammen mit dem Peloton Tread+ zurückgerufen wurde.
G/O Media kann eine Provision erhalten
15% Rabatt auf Ihre erste BestellungHum Nutrition Gummy SupplementsHolen Sie es für $11 bei Hum Nutrition Verwenden Sie den Aktionscode CODE
Dies ist normalerweise der Punkt, an dem wir Ihnen sagen, dass Sie gehen und sicherstellen sollen, dass Sie die letztes Firmware-Update. Allerdings ist es nicht ganz einfach zu erkennen, ob Ihr Peloton über das neueste Update verfügt, zumal das Unternehmen keine Software-Versionshinweise veröffentlicht. Es ist ein Versäumnis, das Peloton vielleicht korrigieren sollte, wenn man bedenkt, wie beliebt vernetzte Fitness im letzten Jahr geworden ist. In solchen Fällen empfiehlt es sich, nach Möglichkeit automatische Updates zu aktivieren. Zu beachten ist auch, dass Peloton es Benutzern verbietet, andere Apps wie Netflix oder Spotify auf seine Fahrräder und Laufbänder herunterzuladen. (Obwohl es Möglichkeiten gibt, dies zu umgehen.) Wenn Sie sich also jemals auf einem öffentlichen Peloton befinden und es andere Apps hat, sollten Sie es wahrscheinlich nicht verwenden.
Victoria SongPostsEmailTwitter
Consumer-Tech-Reporter bei Tag, Gefahrennudeln bei Nacht. Nein, ich bin nicht der K-Pop-Star.