Игровую звуковую панель Creative можно взломать через Bluetooth с 15 метров без сопряжения

Исследователь безопасности Расмус Муратс продемонстрировал, что игровую звуковую панель Creative Sound Blaster Katana V2X можно взломать через Bluetooth с расстояния примерно 15 метров без необходимости сопряжения или физического контакта. В своем блоге, опубликованном 3 июня, он описал, как, используя неаутентифицированный интерфейс Bluetooth и отсутствие подписи прошивки, злоумышленник может удаленно прошить на колонку модифицированную прошивку, превратив USB-подключенное устройство в клавиатуру, которая вводит команды на ПК. Компания Creative, с которой связались через национальную группу реагирования на киберинциденты Сингапура, ответила почти через два месяца, заключив, что данное поведение не представляет угрозы кибербезопасности, оставив владельцев звуковой панели стоимостью около 280 долларов (~22 400 рублей) без официального исправления.

Katana V2X взаимодействует с настольным приложением Creative через проприетарный протокол, который Муратс называет Creative Transfer Protocol (CTP). По USB колонка требует подтверждения по схеме «запрос-ответ» перед выполнением любой команды, но через Bluetooth Low Energy тот же протокол принимает команды без аутентификации или сопряжения, поэтому любое устройство в зоне действия может считывать настройки, изменять их или загружать прошивку. Сама прошивка не имеет криптографической подписи, а только контрольную сумму SHA-256, которую Муратс пересчитал после редактирования образа.

Чтобы превратить это в атаку, он отредактировал дескриптор USB колонки так, чтобы устройство сообщало о себе как о клавиатуре, в дополнение к имеющимся ограниченным элементам управления мультимедиа. Прошивка работала на модифицированной сборке FreeRTOS, и вместо написания нового кода для инъекции нажатий клавиш Муратс перезаписал неиспользуемую диагностическую задачу на ту, которая ожидает запуска USB-подсистемы, а затем вводит и выполняет команду при каждой загрузке. Его proof-of-concept выводил «echo pwned», но та же процедура может открыть PowerShell и вставить вредоносную однострочную команду.

Перепрограммирование доверенного USB-устройства в клавиатуру — это метод BadUSB, который Карстен Ноль и Якоб Лелль представили на Black Hat еще в 2014 году, предупредив, что большинство USB-контроллеров поставляются без проверки подлинности прошивки.

Для тех атак требовалось, чтобы кто-то подключил поддельное устройство, но Муратсу удалось исключить этот шаг, так как вредоносное устройство здесь — это аппаратное обеспечение, которым жертва уже владеет и которому доверяет, перепрошитое из другого конца комнаты. За прошедшие годы мы видели подобные схемы в других потребительских устройствах, включая подключенную к интернету кровать, прошивка которой раскрывала домашнюю сеть владельца, и уязвимости BlueBorne, которые давали злоумышленникам контроль над Bluetooth-устройствами без сопряжения.

Связаться с производителем колонки, компанией Creative, было самой сложной частью работы, написал Муратс, поскольку единственный способ связаться с компанией — через веб-форму поддержки. После двух неудачных попыток он вместо этого сообщил о проблеме через Сингапурскую группу реагирования на компьютерные чрезвычайные ситуации (SingCERT), которая сама с трудом добилась ответа.

По его словам, окончательный ответ Creative заключался в том, что они «не считают это уязвимостью, так как это не представляет угрозы кибербезопасности». В конечном итоге Муратсу пришлось сделать работу за Creative, выпустив инструмент, который загружает официальную прошивку Creative, удаляет из нее поддержку CTP через Bluetooth и перепрошивает колонку через USB. Однако это, вероятно, нарушит работу мобильного приложения Creative, и Муратс отметил, что добавить правильную аутентификацию сложно без исходного кода компании. Bluetooth на колонке остается включенным даже в спящем режиме, и нет очевидного способа его отключить.

Источник: Tomshardware.com

Цены сконвертированы автоматически. Реальные цены могут отличаться.