AiSiri网6月7日消息,安全研究员Rasmus Moorats最近捅了个不大不小的篓子:他发现创新科技(Creative)旗下Sound Blaster Katana V2X游戏回音壁存在一个极其离谱的蓝牙安全漏洞。攻击者无需任何配对操作,甚至不用触碰设备,就能在约15米外隔空将其劫持。更魔幻的是,面对确凿的证据,创新官方的回应是——“这不算网络安全风险”。
问题的根源在于Creative Transfer Protocol(CTP)协议。当回音壁通过USB连接电脑时,系统会进行正常的握手验证,安全性尚可。但一旦切换到蓝牙低功耗(BLE)通道,同一套协议就像脱了缰的野马,彻底放弃了任何身份认证或配对要求。这意味着,只要你的蓝牙够得着,任何设备都能像读白纸一样读取回音壁的设置,修改EQ参数,甚至推送固件。
更致命的杀招在固件层面。该回音壁的固件不仅没有加密签名,甚至连基础的签名验证机制都没有,仅靠一个SHA-256校验和来防伪。对于稍有经验的安全研究人员来说,这层防护形同虚设。Moorats在修改固件后,重新计算了一下校验和,就轻松绕过了这道防线。
他利用这个漏洞进行了一次概念验证:修改了设备的USB描述符,让这台原本只有媒体控制键的回音壁,在操作系统眼里额外伪装成了一个键盘。同时,他改写了固件中一个闲置的诊断任务,让设备每次启动时自动向连接的电脑输入并执行预设命令。虽然他在演示中只输出了“echo pwned”这条无害指令,但同样的手法理论上可以发送任何内容——比如打开PowerShell,然后静静地下载并执行一个勒索病毒。
这场攻防战其实是对2014年Black Hat大会上提出的BadUSB攻击的经典重现。最大的区别在于,当年的BadUSB需要你亲手插上一个被篡改过的U盘,而现在,你完全信任的、从商店里买回来的硬件,在隔壁房间通过蓝牙就已经被敌人悄悄“策反”了。
比发现漏洞更折腾的是联系厂商的过程。Moorats两次通过创新官网的客服通道提交报告,都石沉大海。无奈之下,他只能辗转找到新加坡网络安全应急响应团队SingCERT代为转达。即便是由官方机构出面,SingCERT也费了好大一番周折才收到对方回复。最终,Creative的回应堪称经典:他们认为这不构成一个漏洞,因为“它不构成网络安全风险”。
由于厂商拒绝修复,Moorats只能选择自救。他发布了一款第三方修补工具,下载官方固件后进行修补:禁用掉不安全的CTP蓝牙通道,再将修改后的固件刷入设备。当然,这个方案存在明显的副作用——安装补丁后,Creative官方的移动App将无法与回音壁正常通信。而且,在没有厂商源码支持的情况下,要想加入一套严谨的加密认证机制,几乎是一项不可能完成的任务。
