Эстонский исследователь безопасности Расмус Мооратс, который и ранее привлекал внимание своими интересными хакерскими проектами, обнаружил уязвимости в своей звуковой панели Creative Sound Blaster Katana V2X. Как рассказал исследователь в своем блоге(открывается в новом окне), ему удалось через Bluetooth манипулировать прошивкой звуковой панели, а затем управлять компьютером, подключенным к аудиосистеме через USB.
Мооратс обнаружил уязвимости методом обратного проектирования (reverse engineering). Изначально он хотел разработать инструмент на Linux для взаимодействия с аудиосистемой. Однако в процессе он, по его словам, нашел уязвимости, которые позволили ему перезаписывать прошивку через Bluetooth без предварительного сопряжения (pairing).
Это стало возможным благодаря проприетарному коммуникационному протоколу CTP (Creative Transport Protocol), который позволяет управлять системой через приложение. С его помощью Мооратс, по его словам, мог считывать системную информацию с звуковой панели и изменять настройки. Кроме того, обновления прошивки, вероятно, также передаются через CTP.
Звуковая панель Creative в роли USB-клавиатуры
По словам исследователя, он загрузил модифицированную прошивку с помощью самостоятельно разработанного скрипта на Python. Из-за медленного Bluetooth-соединения передача заняла около десяти минут. Однако в итоге процесс завершился успешно. Мооратс предполагает, что встроенный в звуковую панель микрофон можно было бы использовать, например, для шпионажа.
Но был и другой вектор атаки, который исследователь счел еще более интересным. Ведь звуковая панель обычно подключается к компьютеру через USB. "Что, если бы мы написали собственную прошивку, которая заставила бы колонку работать как клавиатура, отправлять нажатия клавиш для открытия терминала и выполнять произвольные команды?" — задался вопросом Мооратс.
На практике это оказалось не так уж сложно. Аудиосистема уже была зарегистрирована на компьютере как Human Interface Device (HID) для регулировки громкости и паузы воспроизводимого медиа. Исследователю нужно было лишь внести несколько небольших изменений в прошивку, чтобы передавать произвольные нажатия клавиш.
Патча ожидать не стоит
В итоге Мооратс использовал свои наработки, чтобы отправить команду "echo pwned" на свой компьютер через звуковую панель Creative. Однако он подчеркнул, что также можно было бы запустить PowerShell или выполнить вредоносные команды. Данный вектор атаки опасен еще и тем, что Bluetooth-функция в исследуемой звуковой панели остается активной даже в спящем режиме и, по-видимому, ее невозможно отключить.
Тем временем ожидать, что Creative выпустит патч для устранения уязвимостей, не приходится. Исследователь, по его словам, неоднократно пытался уведомить производителя о своих находках. Однако Creative отреагировал только после того, как Мооратс привлек к делу команду реагирования на киберугрозы Сингапура (SingCERT), и даже им компания ответила лишь спустя несколько недель. Производитель заявил, что не считает обнаруженные проблемы "уязвимостью безопасности, поскольку она не представляет риска для кибербезопасности".
По словам Мооратса, новая прошивка для звуковой панели по-прежнему уязвима. Те, кто использует Creative Sound Blaster Katana V2X и хочет защититься от злоупотреблений, могут найти в репозитории исследователя(открывается в новом окне) инструмент для полного отключения поддержки CTP в аудиосистеме. Однако использование этого инструмента осуществляется на свой страх и риск и может повлиять на функциональность приложения Creative.