安全研究员拉斯穆斯・莫拉茨近日披露,创新科技(Creative)旗下售价约280美元的Sound Blaster Katana V2X游戏回音壁存在严重安全漏洞。攻击者可在15米范围内无需配对或物理接触,通过蓝牙直接劫持设备并植入恶意固件。该漏洞源于设备蓝牙接口未设置身份验证机制,且固件仅依赖SHA-256校验值而缺乏加密签名,导致攻击者可绕过检测修改系统。
莫拉茨研究发现,Katana V2X通过自研的CTP协议与桌面客户端通信时存在双重漏洞:USB模式下设备会执行质询-应答握手验证,但蓝牙模式下同一协议却跳过所有安全流程,允许任意设备直接读取或修改设置。更严重的是,其基于FreeRTOS的固件系统未对更新包进行数字签名,攻击者修改固件镜像后可通过重新生成校验值绕过防护。为演示攻击效果,莫拉茨将设备USB描述符从基础媒体控制器篡改为键盘,利用闲置诊断任务在开机时自动执行"echo pwned"指令,甚至可调用PowerShell执行恶意代码。
这种攻击方式突破了传统BadUSB需要物理接触的限制。2014年黑帽安全大会上,卡斯滕・诺尔与雅各布・莱尔曾展示过类似技术,但当时需用户主动接入被篡改设备。而此次漏洞使攻击者能在受害者完全不知情的情况下,远程控制其信任的硬件设备。类似案例还包括联网床具泄露家庭网络信息、BlueBorne漏洞允许未配对控制蓝牙设备等民用数码产品安全问题。
莫拉茨指出,整个研究过程中最困难的是与厂商沟通。创新科技仅提供在线客服表单作为反馈渠道,他两次自行上报均未获回应,转而通过新加坡网络安全应急响应中心(SingCERT)上报后,仍耗时近两个月才得到厂商答复。创新科技最终认定该问题"不属于安全漏洞,不会引发网络安全风险",拒绝发布官方修复补丁。无奈之下,莫拉茨自行开发工具通过USB端口封堵蓝牙漏洞并重刷固件,但该方案可能导致移动端APP无法正常使用,且无法彻底解决蓝牙协议的身份验证缺陷。
该设备还存在设计缺陷:即使进入休眠模式,蓝牙功能仍持续运行且无手动关闭选项。莫拉茨强调,在没有厂商源代码的情况下,第三方难以实现完善的身份验证机制。目前这款回音壁仍存在被远程劫持的风险,用户需谨慎使用蓝牙连接功能。
