圖片來源: 

Peloton

安全廠商McAfee最近發現熱門健身器材商派樂騰(Peloton)的健身器App有漏洞,可能讓駭客注入惡意程式以控管整臺設備。

美國健身器材派樂騰(Peloton)提供包含線上健身課程,受惠於新冠肺炎疫情帶動歐美民眾居家健身需求,2020年派樂騰股價大漲,今年1月中觸及171美元。

McAfee是在測試Android版Bike+Bike+時發現漏洞。為確保Android上使用的映像檔是可信任、未被植入rootkit或其他惡意程式,Android設計中加入了Android verified boot(AVB)的把關機制。如果想在Android手機或平板電腦上刷機或安裝第三方映像檔,得經過OEM解鎖(OEM Unlocking)過程,使用者以密碼、PIN或生物驗證方式將之解鎖,但在此同時,AVB也會將Android裝置上的應用、檔案和密碼等資料全數刪除以確保資訊安全,還會留下記號。正常情況下,以第三方映像檔開機,往往會遭到拒絕,且顯示這臺裝置開機程式(bootloader)是鎖定狀態。

然而McAfee研究人員發現,Pelon Bike+ Android App沒有這樣的安全把關。他們先是發現,第三方映像檔在一臺普通、未解鎖開機程式的Android裝置上執行並未觸發上述訊息。研究人員進一步利用無線更新(OTA update)取得合法Peloton Bike+備份映像檔,經過改造,最後將第三方程式刷入Android OS。

研究人員表示,這個App的漏洞讓駭客成功繞過AVB驗證,駭入Android OS。最嚴重情形下,攻擊者可利用Peloton刷入改造過的惡意映像檔,進而在Android上提高權限,並以此建立反向shell、後門,並於日後遠端存取Peloton健身飛輪的設備,像是相機或麥克風。而且,攻擊者可以在供應鏈任意環節,像是工廠或倉庫中於產品內植入後門。

研究人員僅證實漏洞出現在Bike+,但事後發現,也會影響Peloton Tread跑步機系列。

Peloton公司指出,要開採這項漏洞,攻擊者必須要實際接觸到產品。不過全美許多飯店、健身房及住宅都採用這些產品。在接獲McAfee通知後,Peloton已經於6月初修補漏洞。


熱門新聞

Advertisement