Peloton健身App漏洞可能使骇客接管装置

安全厂商McAfee最近发现热门健身器材商派乐腾（Peloton）的健身器App有漏洞，可能让骇客注入恶意程式以控管整台设备。

美国健身器材派乐腾（Peloton）提供包含线上健身课程，受惠于新冠肺炎疫情带动欧美民众居家健身需求，2020年派乐腾股价大涨，今年1月中触及171美元。

McAfee是在测试Android版Bike+Bike+时发现漏洞。为确保Android上使用的映像档是可信任、未被植入rootkit或其他恶意程式，Android设计中加入了Android verified boot（AVB）的把关机制。如果想在Android手机或平板电脑上刷机或安装第三方映像档，得经过OEM解锁（OEM Unlocking）过程，使用者以密码、PIN或生物验证方式将之解锁，但在此同时，AVB也会将Android装置上的应用、档案和密码等资料全数删除以确保资讯安全，还会留下记号。正常情况下，以第三方映像档开机，往往会遭到拒绝，且显示这台装置开机程式（bootloader）是锁定状态。

然而McAfee研究人员发现，Pelon Bike+ Android App没有这样的安全把关。他们先是发现，第三方映像档在一台普通、未解锁开机程式的Android装置上执行并未触发上述讯息。研究人员进一步利用无线更新（OTA update）取得合法Peloton Bike+备份映像档，经过改造，最后将第三方程式刷入Android OS。

研究人员表示，这个App的漏洞让骇客成功绕过AVB验证，骇入Android OS。最严重情形下，攻击者可利用Peloton刷入改造过的恶意映像档，进而在Android上提高权限，并以此建立反向shell、后门，并于日后远端存取Peloton健身飞轮的设备，像是相机或麦克风。而且，攻击者可以在供应链任意环节，像是工厂或仓库中于产品内植入后门。

研究人员仅证实漏洞出现在Bike+，但事后发现，也会影响Peloton Tread跑步机系列。

Peloton公司指出，要开采这项漏洞，攻击者必须要实际接触到产品。不过全美许多饭店、健身房及住宅都采用这些产品。在接获McAfee通知后，Peloton已经于6月初修补漏洞。