[免責事項:McAfee ATRチームは、この脆弱性をPelotonに開示し、開示ウィンドウ内で責任を持ってパッチを開発および発行するために、迅速に協力を開始しました。パッチは2021年6月4日にテストされ、有効であることが確認されました。]
想像してみてください。ハッカーが Peloton Bike+を持ってジムやフィットネスセンターに入る。彼らは、リモートルートアクセスを許可する悪意のあるコードを含むブートイメージファイルを含む小さなUSBキーを挿入します。攻撃者は変更された画像をロードするために自転車の工場でロックを解除する必要がないため、改ざんされた兆候はありません。新たに見つかったアクセスにより、ハッカーはPelotonのオペレーティングシステムに干渉し、プログラムのインストールと実行、ファイルの変更、またはインターネット経由のリモートバックドアアクセスの設定を行うことができるようになりました。彼らは、NetflixやSpotifyを装った悪意のあるアプリをバイクに追加し、疑いを持たないユーザーが他のサイバー攻撃のために収集するためのログイン資格情報を入力することを期待しています。自転車のカメラとマイクがデバイスとそれを使用している人をスパイできるようにすることができます。さらに悪いことに、また、自転車がアクセスするさまざまなクラウドサービスやデータベースとの暗号化された通信を復号化して、あらゆる種類の機密情報を傍受する可能性もあります。その結果、疑うことを知らないジムに通う人がPeloton Bike+を試してみると、個人データが危険にさらされ、無意識のうちにワークアウトが監視される危険性があります。
これは、McAfeeのAdvanced Threat Research(ATR)チームのおかげで心配する必要がなくなった潜在的なリスクです 。このブログの公開と同時に、ATRチームでは、Peloton Bike+の脆弱性を明らかにしました。これにより、ハッカーはBike+に物理的にアクセスするか、サプライチェーンの任意の時点(建設から配送まで)にアクセスして、Pelotonのタブレットにリモートルートアクセスできるようになります。ハッカーは悪意のあるソフトウェアをインストールし、トラフィックとユーザーの個人データを傍受し、インターネットを介してバイクのカメラとマイクを制御することさえできます。Pelotonとのさらなる会話により、この脆弱性はPeloton Tread エクササイズ機器にも存在することが確認されました。ただし、調査の範囲はBike+に限定されていました。
COVID-19の影響による結果として、多くの消費者が家庭での運動ソリューションを探しており、Peloton製品の需要が急増しています。Pelotonユーザーの数は2020年9月から12月末までの間に22%増加し、年末時点で 440万人 を超えるメンバーがプラットフォームに参加しています。Pelotonは、豪華なエクササイズ機器とハイエンドテクノロジーを組み合わせることで、タブレットを数回タップするだけで、さまざまなクラスで体調を維持したい方に魅力的なソリューションを提供します。Pelotonなどの家庭用フィットネス製品は前例のない利便性を約束しますが、多くの消費者はIoTフィットネスデバイス がオンラインセキュリティにもたらすリスクを認識していません 。
Peloton Bike+の下で
Peloton Bike+ などのIoTフィットネスデバイスは、インターネットに接続できる他のラップトップや携帯電話とまったく同じです。ファームウェア、ソフトウェア、およびオペレーティングシステムを備えた組み込みシステムがあります。結果として、それらは同じ種類の脆弱性の影響を受けやすく、それらのセキュリティは同様のレベルの精査でアプローチされるべきです。
IoTフィットネスデバイスの増加という消費者の傾向に続いて、McAfee ATRは、消費者が考えていない可能性のある潜在的なリスクを探して、Pelotonのさまざまなシステムを批判的な目で調べ始めました。この探索的プロセス中に、チームは、カスタムイメージを起動しようとする前に、Bike+のシステムがデバイスのブートローダーのロックが解除されていることを確認していないことを発見しました。これは、このバイクにより、研究者がPelotonハードウェア用ではないファイルをロードできることを意味します。このコマンドは、このようなロックされたデバイスでは通常拒否されます。彼らの最初の試みは空白の画面をロードするだけだったので、チームは有効であるがカスタマイズされたブートイメージをインストールする方法を探し続けました。
少し掘り下げた後、研究者は、変更可能なブートイメージを含む更新パッケージをPelotonから直接ダウンロードすることができました。Pelotonからのブートイメージを変更する機能により、研究者はルートアクセスを許可されました。ルートアクセスとは、ATRチームがデバイスに対して最高レベルの権限を持っていたことを意味し、Peloton開発者が意図していないエンドユーザーとしての機能を実行できるようにします。バイクの検証済みブートプロセスは、研究者がブートイメージを改ざんしたことを識別できなかったため、オペレーティングシステムは変更されたファイルで正常に起動できました。疑いを持たないユーザーには、Peloton Bike+は完全に正常に見え、外部からの変更の兆候や、デバイスが危険にさらされたという手がかりは見られませんでした。実際には、ATRはBikeのAndroidオペレーティングシステムを完全に制御していました。
健康を維持しながら安全を維持するために
マカフィーATRチームは、この脆弱性をPelotonに開示し、開示ウィンドウ内で責任を持ってパッチを開発および発行するために、迅速に協力を開始しました。 パッチは2021年6月4日にテストされ、有効であることが確認されました。この発見は、フィットネスIoTデバイスを使用する際に注意を払うための重要なリマインダーとして機能し、消費者が健康を維持しながら安全を保つために次のヒントを覚えておくことが重要です。
1.定期的な更新
デバイスメーカーからのソフトウェアアップデートを常に把握してください。特に、ソフトウェアアップデートが常にその可用性を宣伝するとは限らないためです。定期的に彼らのウェブサイトにアクセスして、あなたに影響を与える可能性のあるニュースを見逃さないようにしてください。さらに、IoTデバイスとペアリングするモバイルアプリを必ず更新してください。自動ソフトウェア更新をオンにするように設定を調整し、手動で更新する必要がなく、常に最新のセキュリティパッチを適用できるようにします。
2.購入前に調査を
IoTデバイスに多額の投資を行う前に、調査を行ってください。これらのデバイスが信頼できるベンダーのものであるかどうかを自問してください。彼らは過去に以前にデータ侵害を経験したことがありますか、それとも安全な製品を提供することで優れた評判を持っていますか?また、IoTデバイスが収集する情報、ベンダーがこの情報をどのように使用するか、他のユーザーやサードパーティに何をリリースするかにも注意してください。
何よりも、プライバシーと情報の使用をどのように管理しているかを理解してください。IoTデバイスで情報の収集をオプトアウトしたり、収集したデータにアクセスして削除したりできる場合は、良い兆候です。
3.個人情報盗難防止ソリューションを検討
McAfee Total Protectionに含まれているような個人情報盗難ソリューションを使用して、ステルスサイバー犯罪者によるデータの侵害からデータを保護します 。このソフトウェアを使用すると、ユーザーは、個人および財務の監視、および回復ツールを使用して、自分のIDを保護するためのプロアクティブなアプローチをとることができます。
セキュリティリスクを最小限に抑える
あなたが440万人のPelotonメンバーの一人であるか、他のIoTフィットネスデバイスを使用している場合、これらのガジェットは他の接続されたデバイスと同様に潜在的なセキュリティリスクをもたらす可能性があることに留意することが重要です。プライバシーとデータを保護しながらフィットネスゲームを向上させるには、サイバーセキュリティのベストプラクティス を日常生活に 取り入れて、自信を持ってIoTデバイスを楽しむことができます。
Pelotonとのコラボレーション
前述のように、McAfeeとPelotonは緊密に協力してこの問題に対処しました。Pelotonのグローバル情報セキュリティ責任者であるAdrianStoneは、次のように述べています。「McAfeeによって報告されたこの脆弱性には、Peloton Bike+またはTreadへの直接の物理的アクセスが必要です。家庭内の接続されたデバイスと同様に、攻撃者がデバイスに物理的にアクセスできる場合、追加の物理的制御と保護手段がますます重要になります。メンバーの安全を守るために、マカフィーと迅速に連携して行動しました。6月上旬に必須のアップデートをプッシュし、アップデートがインストールされているすべてのデバイスがこの問題から保護されています。
Pelotonは、Pelotonデバイスにプッシュされるソフトウェアアップデートを通じてメンバーが新しい機能を利用できるようにするなど、製品と機能を改善する方法を常に模索しています。更新されたソフトウェアを確認する方法のステップバイステップガイドについては、PelotonメンバーはPelotonサポートサイトにアクセスできます。
最新情報を入手
日々のニュースからの情報収集は重要です。またデジタルの安全性を維持するための情報やマカフィー製品に関する最新情報、および最新の消費者向けおよびモバイルセキュリティの脅威に関する最新情報を入手するには、Twitterで@McAfee_Home(US)または@McAfee_JP_Sec(日本)をフォローし、ポッドキャストHackableをお聞きください。
※本ページの内容は2021年6月2日(US時間)更新の以下のMcAfee Blogの内容です。
原文:Is Your Peloton Spinning Up Malware?
著者:McAfee
*アイキャッチ画像:Tada Images – stock.adobe.com