快科技6月7日消息,安全研究员Rasmus Moorats在其博客文章中演示,创新Creative旗下Sound Blaster Katana V2X游戏回音壁存在严重蓝牙安全漏洞,攻击者可在约15米外无需配对、无需物理接触即可劫持设备,而Creative回应称“不构成网络安全风险”。
该回音壁通过Creative Transfer Protocol(CTP)与桌面应用通信。USB连接时需要响应握手验证身份,但蓝牙低功耗通道上同一协议完全不要求认证或配对,范围内任何设备均可读取设置、修改参数甚至推送固件。
更致命的是,固件本身没有加密签名,仅有一个SHA-256校验和,Moorats修改固件后重新计算校验和即可通过。
他修改了设备的USB描述符,使其在原有媒体控制键之外额外报告为一个键盘,并覆写了固件中一个未使用的诊断任务,让设备每次启动时自动向主机输入并执行命令。
虽然概念验证仅打印了“echo pwned”,但同样的手法完全可以打开PowerShell执行恶意指令。
这本质上就是2014年Black Hat上Karsten Nohl和Jakob Lell提出的BadUSB攻击,区别在于不再需要插入伪造设备,受害者自己信任的硬件从房间另一头就被改写了。
联系Creative的过程比发现漏洞更难,Moorats两次通过官网支持表单联系未果,最终通过新加坡网络安全应急响应团队SingCERT提交报告,SingCERT同样费尽周折才获得回复。
Creative的回复是“不认为这是一个漏洞,因为它不构成网络安全风险”。
Moorats最终自行发布了一款工具,下载官方固件后修补掉CTP蓝牙通道并重新刷入,但这很可能导致Creative移动应用无法使用,且没有厂商源码很难加入完善的认证机制。
