Pwnd Blaster: беспроводной взлом компьютера через саундбар

В сфере искусственного интеллекта произошло заметное событие. interpres 1 час назад Pwnd Blaster: беспроводной взлом компьютера через саундбар Средний 12 мин 3. 5K Блог компании RUVDS. com Информационная безопасность * Реверс-инжиниринг * Звук Кейс Перевод Автор оригинала: Rasmus Moorats В своём предыдущем посте я рассказывал о реверс-инжиниринге прошивки моего нового Creative Sound Blaster Katana V2X.

То, что начиналось как попытка написать Linux-инструмент для общения с саундбаром, закончилось обнаружением уязвимостей, позволяющих любому нападающему в радиусе примерно 15 метров от Katana V2X превратить его в шпионское устройство и Rubber Ducky без необходимости сопряжения или физического контакта с оборудованием. Введение в CTprotocolKatana V2X — это подключаемый по USB саундбар для PC. Creative разработала приложение, позволяющее менять параметры устройства — DSP, конфигурацию светодиодов, источник вывода и так далее.

Технические детали

Для этого оно использует собственный протокол под названием CTP (подозреваю, что это расшифровывается как Creative Transport Protocol). По сути, он кажется довольно простым проприетарным протоколом для отправки различных команд и считывания ответов на них. Я не буду здесь вдаваться в подробности, но если вам любопытно, то описание его работы я привёл в предыдущем посте.

Однако важно отметить, что прежде чем выполнять любые действия с CTP через USB, необходимо сначала произвести с устройством аутентификацию «запрос-ответ». Ключ статический и его можно извлечь из двоичных файлов, поставляемых с Creative App; не знаю, зачем это вообще нужно, но саундбар не будет принимать никаких команд, пока не выполнена аутентификация. Ещё один аспект, который станет важным позже, заключается в том, что обновления прошивок тоже происходят через CTP.

Именно так я изначально и получил образ прошивки — прослушкой USB-трафика при помощи Wireshark и извлечением данных из перехваченной информации. Первый пакет полезной нагрузки прошивки в Wireshark Анализ прошивкиКонтейнер прошивки, тоже имеющий проприетарный формат, по сути оказался примитивным файлом Zip, содержащим три очень ценные части. Во-первых, в нём есть FBOOT, который я изначально посчитал загрузчиком (bootloader), но также он содержит своего рода режим восстановления для саундбара.

Отраслевые последствия

В этот режим восстановления можно попасть, удерживая кнопку SOURCE при включении питания устройства. Он позволяет восстановиться из сбойного состояния и много раз спасал моё устройство от «окирпичивания», за что я ему крайне благодарен. Вторая часть — это FMAIN, то есть основная прошивка устройства.

Она запускается при «нормальном» запуске устройства. FBOOT во многом реализует ту же функциональность, что и FMAIN (например, оба могут обрабатывать команды CTP), однако FMAIN примерно в 6,5 раза больше, чем FBOOT. И FBOOT, и FMAIN основаны на версии FreeRTOS (достаточно сильно модифицированной), что можно понять из присутствующей в двоичных файлах строки: /home/jieyi/mcuos2.

Этот прогресс даёт важные сигналы о будущем отрасли, и технологический мир внимательно наблюдает.