新加坡品牌 Creative Technologies 旗下喇叭 Sound Blaster Katana V2X 存在嚴重安全漏洞。攻擊者毋須觸碰裝置,只需在藍牙範圍內即可向連接電腦植入惡意程式碼。研究人員 Rasmus Moorats 發現透過替換喇叭韌體並利用其人機介面裝置功能模擬鍵盤,可在 Windows 電腦遠端執行任意指令。然而 Creative Technologies 回應指不認為此行為屬於安全漏洞。
意外購物揭發安全漏洞
研究人員 Rasmus Moorats 購入 Sound Blaster Katana V2X 音箱後,嘗試自行開發 Linux 工具與音箱通訊,無意間揭發這個嚴重漏洞。該喇叭支援 USB 及藍牙連接,售價約 283 美元(約港幣 HK$2,207),並獲多個媒體好評。
Moorats 發現喇叭採用名為 CTP(推測為 Creative Transport Protocol)專有通訊協定,允許已連接裝置發送指令,例如更改 LED 顏色及均衡器設定。更令人憂慮是藍牙裝置毋須與音箱配對,亦無需任何驗證便可直接連接並發送指令。
無需配對即可取代韌體
Moorats 進一步發現 CTP 指令包含「上傳新韌體至裝置」功能,而該過程並無程式碼簽署或任何防止載入非官方程式碼機制。他成功以自訂韌體取代原廠韌體,令音箱 LED 顯示「patched」字樣作為概念驗證。
其後他研究音箱採用開源即時作業系統 FreeRTOS,發現當中包含一組 HID(人機介面裝置,Human Interface Device)功能,可讓音箱模擬鍵盤及滑鼠等輸入裝置。透過修改喇叭 USB 描述符集(USB descriptor set),他成功令音箱額外偽裝成鍵盤。
藍牙範圍內即可遠端入侵電腦
將上述漏洞串連起來,Moorats 得以完全透過無線方式,在未配對情況下向音箱上傳自訂韌體,令其重新啟動後自動模擬鍵盤,向連接的 Windows 電腦輸入指令並執行任意程式碼。他以執行「echo pwned」指令作為概念驗證,並指出真實攻擊者可輕易改為開啟 PowerShell 並執行惡意程式。
更值得關注是即使喇叭處於睡眠模式,藍牙功能仍會保持開啟,且用戶明顯無法將其關閉。同時亦發現音箱與電腦之間雖設有質詢回應(challenge-and-response)驗證機制,但正確回應可直接從音箱附帶應用程式二進位檔案提取,實際上並不構成有效防線。
廠商拒認漏洞 目前尚無修補計劃
Moorats 事後向 Creative Technologies 舉報惟長期未獲任何回覆。其後經新加坡電腦應急響應小組(CERT Singapore)介入,廠商方才作出回應,惟聲稱工程師不認為上述行為屬於安全漏洞,亦無跡象顯示會推出修補程式。
值得留意是攻擊者必須身處目標喇叭藍牙範圍內方可實施攻擊,在一定程度上限制攻擊場景,例如鄰居及同住人士或毗鄰辦公室人員。雖然一款廣受好評消費電子產品竟成為入侵電腦跳板,不禁令人反思究竟還有多少藍牙裝置存在類似風險。
用戶應如何自保?
事件曝光後外界關注 Creative Technologies 會否迫於輿論壓力推出韌體更新。現時 Sound Blaster Katana V2X 用戶若擔心安全風險,在不使用時可考慮拔除音箱 USB 連接,或將其置於藍牙訊號覆蓋不到位置以減低被攻擊可能性。隨著物聯網裝置日趨普及,相信更多研究人員及監管機構將注視類似嵌入式裝置安全問題,促使業界重新審視藍牙周邊裝置安全標準。
來源: Rasmus Moorats
