マカフィーAdvanced Threat Research(ATR)チームは米国で人気のフィットネスバイク「Peloton Bike+」に脆弱性を発見。この脆弱性はすでに解消されているが、同社ブログにて経緯を解説している。
Peloton Bike+はバイクと連動する大型タブレットが装備され、インターネットを経由して仮想のトレーニングクラスに参加できる機能が盛り込まれている。Pelotonはエクササイズ機器とテクノロジーを融合したサービスを提供するフィットネスブランドで、Peloton Bike+は2020年に発売開始された新型モデル。新型コロナウイルスによるパンデミックのなかで自宅でフィットネスを行なえるとして注目され、Pelotonユーザー数は2020年9月から12月末の間に22%増加して年末には440万人以上の会員がプラットフォームを利用する。
Peloton Bike+は全世界のユーザーと繋がることが可能
マカフィーATRチームによると、タブレットがOSとして利用するAndroidのブートプロセスに脆弱性があることから、カスタムしたOSで起動することでタブレットを遠隔で操作できるようになるという。タブレットにはカメラやマイクも搭載されていることから、運動データだけでなくプライバシーに重大な問題が生じるおそれがあるとしている(カスタムしたOSでのブートが必要なことから、製造から配送までの間にPeloton Bike+への物理的なアクセスを必要とする)。
Androidではブート時にOSを検証するAndroid Verified Bootが用意されておりデバイスの改変を防ぐことができるが、マカフィーATRチームでは、Android Verified Bootを回避してブートすることを発見。
マカフィーでは、脆弱性についてのデバイスの監査を継続しながら、3月2日にPelotonに詳細を網羅した開示情報を送信。Pelotonはこの問題を確認し、その後、修正用のソフトウェアバージョン「PTX14A-290」をリリースしている。パッチ適用後のOSイメージでは脆弱性が完全に低減したというスムーズな対応がなされたという。
