Bluetooth-колонка может заразить компьютер, даже если к ней никто не прикасался. Новый способ атаки без сопряжения и проверки
NewsMakerКолонка Creative, которая решила поиграть в клавиатуру и взломать ваш ПК.
Колонка, подключённая к компьютеру по USB, неожиданно превратилась в мост для удалённого взлома. Специалист по безопасности Расмус Моорац обнаружил , что популярная акустическая система Sound Blaster Katana V2X позволяет злоумышленнику загрузить собственную прошивку по Bluetooth , а затем выполнять команды на подключённом ПК, даже не прикасаясь к устройству.
Проблему нашли случайно. После покупки Sound Blaster Katana V2X Моорац решил изучить, как колонка обменивается данными с компьютером. Во время анализа он обнаружил фирменный протокол Creative Transport Protocol (CTP), который позволяет управлять подсветкой, эквалайзером и другими функциями устройства.
Выяснилось, что Bluetooth-устройство может подключиться к колонке без проверки подлинности и даже без предварительного сопряжения. Более того, одна из команд протокола позволяет загружать новую прошивку. Производитель не подписывал прошивку цифровой подписью и не добавил другие механизмы проверки, поэтому колонка принимала изменённый код без возражений.
Для начала специалист загрузил безобидную версию прошивки, которая просто выводила слово «patched» на дисплей устройства. Затем внимание привлекла операционная система FreeRTOS, работающая внутри колонки. В FreeRTOS нашёлся набор функций, позволяющий устройству работать как HID , к которому относятся клавиатуры, мыши и другая периферия.
Текст, выведенный на дисплей колонки (blog.nns.ee)
По умолчанию возможности HID ограничивались управлением воспроизведением и громкостью. Однако специалист изменил USB-дескриптор устройства, добавив функции клавиатуры. После этого компьютер начал распознавать колонку как дополнительное устройство ввода, а колонка смогла отправлять нажатия клавиш.
Следующий шаг оказался логичным. Моорац заставил Bluetooth-устройство передавать команды колонке, а колонку – использовать функции клавиатуры, чтобы отправлять команды на компьютер. В результате специалист удалённо обновил прошивку через Bluetooth, перезагрузил устройство и выполнил на подключённом компьютере команду «echo pwned».
В демонстрации использовалась безобидная команда, однако в реальной атаке злоумышленник мог бы открыть PowerShell и запустить вредоносный код. Более того, изменённая прошивка способна отключить механизм последующих обновлений, что затруднит попытку удалить вредоносную программу.
Ситуацию усугубляет тот факт, что Bluetooth остаётся активным даже в спящем режиме колонки, а штатного способа полностью отключить беспроводной интерфейс не предусмотрено.
Чтобы колонка и подключённый компьютер обменивались данными, предусмотрена проверка подлинности. Однако защита оказалась слабой. Необходимый ответ на запрос можно извлечь из программы, поставляемой вместе с устройством. Когда устройство подключается по Bluetooth, подобная проверка вообще отсутствует.
Специалист сообщил о находке компании Creative Technology, однако ответа не получил. После вмешательства национального центра реагирования CERT Singapore производитель всё же отреагировал. Компания заявила, что не считает описанное поведение уязвимостью.
Атака требует, чтобы злоумышленник находился в зоне действия Bluetooth, поэтому провести её через интернет нельзя. Для успешного взлома атакующему нужно быть поблизости: в соседней квартире, соседнем офисе или том же помещении. Тем не менее находка показывает, что обычная Bluetooth-колонка может стать неожиданным инструментом для взлома компьютера и поднимает вопрос, сколько других беспроводных устройств обладают похожими скрытыми возможностями.
Колонка, подключённая к компьютеру по USB, неожиданно превратилась в мост для удалённого взлома. Специалист по безопасности Расмус Моорац обнаружил , что популярная акустическая система Sound Blaster Katana V2X позволяет злоумышленнику загрузить собственную прошивку по Bluetooth , а затем выполнять команды на подключённом ПК, даже не прикасаясь к устройству.
Проблему нашли случайно. После покупки Sound Blaster Katana V2X Моорац решил изучить, как колонка обменивается данными с компьютером. Во время анализа он обнаружил фирменный протокол Creative Transport Protocol (CTP), который позволяет управлять подсветкой, эквалайзером и другими функциями устройства.
Выяснилось, что Bluetooth-устройство может подключиться к колонке без проверки подлинности и даже без предварительного сопряжения. Более того, одна из команд протокола позволяет загружать новую прошивку. Производитель не подписывал прошивку цифровой подписью и не добавил другие механизмы проверки, поэтому колонка принимала изменённый код без возражений.
Для начала специалист загрузил безобидную версию прошивки, которая просто выводила слово «patched» на дисплей устройства. Затем внимание привлекла операционная система FreeRTOS, работающая внутри колонки. В FreeRTOS нашёлся набор функций, позволяющий устройству работать как HID , к которому относятся клавиатуры, мыши и другая периферия.
Текст, выведенный на дисплей колонки (blog.nns.ee)
По умолчанию возможности HID ограничивались управлением воспроизведением и громкостью. Однако специалист изменил USB-дескриптор устройства, добавив функции клавиатуры. После этого компьютер начал распознавать колонку как дополнительное устройство ввода, а колонка смогла отправлять нажатия клавиш.
Следующий шаг оказался логичным. Моорац заставил Bluetooth-устройство передавать команды колонке, а колонку – использовать функции клавиатуры, чтобы отправлять команды на компьютер. В результате специалист удалённо обновил прошивку через Bluetooth, перезагрузил устройство и выполнил на подключённом компьютере команду «echo pwned».
В демонстрации использовалась безобидная команда, однако в реальной атаке злоумышленник мог бы открыть PowerShell и запустить вредоносный код. Более того, изменённая прошивка способна отключить механизм последующих обновлений, что затруднит попытку удалить вредоносную программу.
Ситуацию усугубляет тот факт, что Bluetooth остаётся активным даже в спящем режиме колонки, а штатного способа полностью отключить беспроводной интерфейс не предусмотрено.
Чтобы колонка и подключённый компьютер обменивались данными, предусмотрена проверка подлинности. Однако защита оказалась слабой. Необходимый ответ на запрос можно извлечь из программы, поставляемой вместе с устройством. Когда устройство подключается по Bluetooth, подобная проверка вообще отсутствует.
Специалист сообщил о находке компании Creative Technology, однако ответа не получил. После вмешательства национального центра реагирования CERT Singapore производитель всё же отреагировал. Компания заявила, что не считает описанное поведение уязвимостью.
Атака требует, чтобы злоумышленник находился в зоне действия Bluetooth, поэтому провести её через интернет нельзя. Для успешного взлома атакующему нужно быть поблизости: в соседней квартире, соседнем офисе или том же помещении. Тем не менее находка показывает, что обычная Bluetooth-колонка может стать неожиданным инструментом для взлома компьютера и поднимает вопрос, сколько других беспроводных устройств обладают похожими скрытыми возможностями.