山东
IT之家 6 月 7 日消息,安全研究员拉斯穆斯・莫拉茨于 6 月 3 日发布博客文章称,他证实创新科技(Creative)的 Sound Blaster Katana V2X 游戏回音壁存在安全漏洞:攻击者在约 15 米范围内,无需设备配对、无需物理接触,就能通过蓝牙劫持这款设备。
该设备的蓝牙接口未设置身份验证,且固件未做签名校验。攻击者可利用这两点远程刷入自定义固件,将这款通过 USB 连接电脑的音响伪装成键盘,向主机电脑自动输入指令。研究员通过新加坡国家网络安全应急团队联系到创新科技后,对方耗时近两个月才作出回复,并判定该问题不属于安全隐患,这款售价约 280 美元(IT之家注:现汇率约合 1902 元人民币)的回音壁至今未获得官方修复补丁。
Katana V2X 通过一套自研协议与创新科技桌面客户端通信,莫拉茨将其命名为创新传输协议(CTP)。该音响通过 USB 接收指令时,会先执行质询 - 应答握手验证;但在低功耗蓝牙模式下,同一套协议会绕过身份验证与配对流程,直接接收指令。这意味着范围内的任意设备都能读取、修改音响设置,或是推送固件。此外,这款设备的固件仅附带 SHA-256 校验值,并无加密签名,莫拉茨修改固件镜像后,可重新生成校验值绕过检测。
为实现恶意利用,他修改了音响的 USB 描述符。该设备原本仅支持基础媒体控制,修改后会向电脑伪装成键盘。设备固件基于改版的实时操作系统 FreeRTOS 运行,莫拉茨并未额外编写按键注入代码,而是改写了系统中一项闲置的诊断任务:设备每次开机、USB 模块启动后,就会自动输入并执行指令。他制作的概念验证程序会输出指令 echo pwned,而利用同一套逻辑,攻击者还可以调出微软 PowerShell,并粘贴执行恶意单行代码。
将正常 USB 外设篡改伪装成键盘,正是 BadUSB 攻击的核心原理。早在 2014 年,卡斯滕・诺尔与雅各布・莱尔就在黑帽安全大会上展示了该攻击手段,并警告称当时绝大多数 USB 控制器出厂时都未开启固件真伪校验。
传统 BadUSB 攻击需要使用者主动接入篡改后的设备,而莫拉茨此次突破了这一限制:受害者使用的仍是自己原本信任的硬件,攻击者仅需在房间另一端远程篡改设备即可。多年来,多款民用数码产品都出现过类似安全问题,比如联网床具的固件漏洞会泄露用户家庭网络信息,还有蓝波(BlueBorne)漏洞,可让攻击者无需配对就能控制各类蓝牙设备。
莫拉茨表示,整个研究过程中最难的环节是联系设备厂商创新科技 —— 该公司仅提供在线客服表单这一种沟通渠道。他两次自行反馈均无果后,转而通过新加坡网络安全应急响应中心(SingCERT)上报问题,而该机构同样迟迟没能得到厂商回应。
据莫拉茨描述,创新科技最终给出的答复是:“我们不认为这属于安全漏洞,该问题不会引发网络安全风险。”无奈之下,莫拉茨只能自行推出工具:该工具可下载官方固件、封堵蓝牙端的创新传输协议漏洞,并通过 USB 重新刷写设备固件。不过这套修复方案大概率会导致创新科技移动端 APP 无法正常使用,同时莫拉茨也提到,在没有厂商源代码的前提下,很难为蓝牙协议补上正规的身份验证机制。另外,这款音响即便进入休眠模式,蓝牙功能也会持续开启,且没有可以手动关闭的明显选项。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
