Foto: Tom's Hardware
Sigurnosni istraživač Rasmus Moorats pokazao je da se Creativeov gaming soundbar Sound Blaster Katana V2X može preuzeti preko Bluetootha s udaljenosti od oko 16 jardi, odnosno 15 metara, bez uparivanja i bez fizičkog kontakta. Riječ je o uređaju koji, prema njegovu opisu, prihvaća nesignirani firmware preko neautentificirane Bluetooth veze, a nakon izmjene može biti pretvoren u tipkovnicu koja upisuje naredbe na povezano računalo.
Moorats je naveo da Katana V2X s Creativeovom desktop aplikacijom komunicira putem vlasničkog protokola koji naziva Creative Transfer Protocol, odnosno CTP. Preko USB-a uređaj traži challenge-response provjeru prije prihvaćanja naredbi, no preko Bluetooth Low Energy veze isti protokol prima iste naredbe bez autentifikacije ili uparivanja. To znači da bi uređaj u dometu mogao čitati postavke, mijenjati ih ili slati firmware, a sam firmware, prema njegovu opisu, ne nosi kriptografski potpis nego samo SHA-256 kontrolni zbroj.
Kako bi demonstrirao napad, Moorats je izmijenio USB descriptor set tako da se uređaj predstavlja kao tipkovnica, uz postojeće ograničene medijske kontrole. Firmware je radio na modificiranoj verziji FreeRTOS-a, a umjesto pisanja nove logike za ubacivanje pritisaka tipki, istraživač je prepisao neiskorišteni dijagnostički zadatak funkcijom koja čeka da se USB podsustav podigne, a zatim upisuje i izvršava naredbu pri svakom pokretanju. U dokaznom primjeru ispisivao je “echo pwned”, no ista rutina mogla bi otvoriti PowerShell i zalijepiti zlonamjernu jednolinijsku naredbu.
Takav način pretvaranja pouzdanog USB periferijskog uređaja u tipkovnicu poznat je kao BadUSB, tehnika koju su Karsten Nohl i Jakob Lell predstavili na Black Hatu 2014. godine. U tom su kontekstu upozorili da većina USB kontrolera dolazi bez provjera autentičnosti firmwarea. Razlika u ovom slučaju, prema Mooratsu, jest u tome što se ne mora fizički priključiti prepravljeni uređaj: napad se može izvesti na hardver koji žrtva već posjeduje i kojem vjeruje, ali koji je izmijenjen na daljinu preko sobe.
Moorats je opisao i kako je do Creativea bilo teško doći, jer je jedini način kontakta navodno putem obrasca za podršku na webu. Nakon dva neuspjela pokušaja, prijavu je poslao preko Singapore Cyber Emergency Response Teama, no ni taj put nije brzo doveo do odgovora. Creative je, prema njegovu navodu, odgovorio da to “ne smatraju ranjivosti jer ne predstavlja kibernetički rizik”. Istraživač je zatim objavio alat koji preuzima Creativeov službeni firmware, uklanja CTP preko Bluetootha i ponovno ga zapisuje preko USB-a. Taj postupak, kako je naveo, vjerojatno ruši Creativeovu mobilnu aplikaciju, a dodavanje pravilne autentifikacije teško je bez izvornog koda tvrtke. Bluetooth na zvučniku ostaje uključen i u stanju mirovanja, bez očite mogućnosti gašenja.
Vezane vijesti
