當你在健身房的智慧動感單車上揮汗如雨時，大多不會注意到旁邊人來人往，更不會注意到有人往單車的介面上插入一個 USB裝置，把單車變成監控工具，獲取每一個踩上單車的人的運動資料。這並非什麼電影劇情，而是實實在在可能發生的安全問題，主要原因是，動感單車聯網了……

近日，McAfee ATR 研究團隊公開了一項研究成果：知名運動品牌 Peloton 旗下的動感單車存在漏洞，可以被攻擊者入侵，獲取單車作業系統的控制權限、執行各種命令，進而獲取使用者敏感資料以及竊聽、監控使用者等。

Peloton 是知名居家健身品牌，主打動感單車、跑步機等器械，會員數已經超過 440 萬，連美國總統拜登都是忠實使用者。Peloton 的動感單車接有聯網中控屏，能記錄運動資料、控制作業系統，還帶有麥克風、攝像頭等，方便使用者檢視健身課程、獲取定製的運動方案。

2021 年初，拜登入主白宮時，曾想把心愛的Peloton 單車一起搬進去，卻被安全專家阻攔。原因正是Peloton 的這些配置會帶來竊聽等安全隱患。

整個 Peloton 單車的聯網裝置使用的是 Android 系統。在研究正式開始之前，研究團隊決定先採用常規方法將整個系統備份。

為確保 Android 上使用的映象檔案可被信任、未被植入rootkit或其他惡意程式，

Android 在設計中加入了Android verified boot（AVB）驗證機制。

如果想在 Android 手機或平板電腦上刷機或安裝第三方映象檔案，需要啟用 OEM 解鎖，利用密碼、PIN或生物驗證等方式解鎖。此時，AVB 會將 Android 裝置中的應用、文件和密碼等資料全部刪除以確保安全。

一般來說， Android 的簡化啟動過程如下：

在上圖任一階段如果檢測到修改過的程式碼，啟動過程就會中止；如果任一階段發現裝置已經解鎖，也會警告使用者映象未經過驗證，提醒使用者選擇中止啟動。因此，要想成功備份，就必須解鎖裝置，而一旦解鎖，就會讓單車處於“被篡改”狀態。

最終，McAfee ATR 團隊決定尋找其他辦法備份，他們嘗試啟動一個通用的 TWRP 恢復映像，結果發現

在嘗試啟動自定義映象時，Peloton 使用的系統沒有驗證裝置是否已經解鎖。

基於這個意想不到的發現，他們對 Peloton 的所有 APK 進行逆向並找到了 OTAConfig。json 檔案，提取到 OTA 更新的內容，獲取到有效 boot。img 檔案。最終，利用 Magisk 程式修改了 boot。img 檔案，讓系統無法發現篡改，直接執行修改後的命令。

在研究過程中，研究團隊在 USB 金鑰中預裝含有惡意程式碼的啟動映象檔案，插入動感單車介面即可啟動惡意程式碼，獲取控制權限，控制整個作業系統，任意安裝、執行任何程式，或者修改檔案、新增後門以便遠端訪問。利用偽裝成音訊、影片播放器的的釣魚軟體，可以獲取使用者輸入的賬號密碼。當然，利用獲取的許可權，還可以獲取單車與各種雲端服務及資料庫之間的通訊資訊。

由於無需解鎖就能執行這些操作，裝置上不會留下任何惡意訪問的痕跡，使用者也毫不知情。研究團隊提交了漏洞詳情（CVE-2021-33887），確認所有 Peloton TTR01 到 PTV55G 型號的單車都可能受到影響。

部分 Peloton 單車的分佈區域

這不是 Peloton 第一次被發現漏洞了。5 月份，Pen Test Partners 安全研究員 Jan Masters 發現 Peloton 的 API 存在漏洞，在未經身份驗證的情況下，可以獲取使用者私人資料（如年齡、性別、城市、體重、鍛鍊資料、生日等）。目前，兩個漏洞都已經修復。

手機、電腦等裝置經過多年的發展，安全性已經逐漸提升。但聯網健身裝置依然存在各類安全隱患，連規模這麼大的  Peloton 都難以倖免。這一次是動感單車，下一次，說不準是跑步機還是橢圓機。不過，如果你根本不用這些器械，也許就不用擔心文中提到的問題，而是要看緊自己的手環和手機……

參考來源：

https：//www。mcafee。com/blogs/other-blogs/mcafee-labs/a-new-program-for-your-peloton-whether-you-like-it-or-not/？hilite=%27Peloton%27