安全研究员 nns.ee 近日公开了 Creative Sound Blaster Katana V2X 条形音箱的多个高危漏洞。这款售价约 300 美元(约合 2160 元人民币)的 PC 音箱,被指可在无需配对或物理接触的情况下,被 15 米范围内的攻击者完全控制,进而变成隐蔽监听工具和键盘注入器(Rubber Ducky),危及连接音箱的电脑。
漏洞技术细节
研究员最初只是想为 Katana V2X 编写一款 Linux 控制工具,但在逆向其固件后发现了一系列设计缺陷。该音箱通过 USB 与 PC 通信时使用名为 CTP(Creative Transport Protocol)的自定义协议,该协议在 USB 连接中要求先完成挑战-应答认证,但认证密钥是静态的,且可从 Creative 官方软件附带的二进制文件中提取。攻击者可利用该密钥绕过认证发送任意 CTP 命令。
更严重的是,固件更新同样通过 CTP 执行,且音箱的蓝牙组件在默认状态下似乎未对命令来源做有效限制。研究者发现,攻击者可在约 15 米范围内通过蓝牙向音箱发送恶意 CTP 数据包,无需事先与音箱配对。一旦控制音箱,即可执行包括发送击键记录、模拟键盘输入、侧录音频等操作——而所有这些都无需物理接触目标设备。
固件与协议逆向
音箱的固件容器被解析为一个类似 ZIP 的私有格式,包含三部分:bootloader(恢复模式)、主固件(基于 FreeRTOS 深度修改)以及 SHA-256 校验和。主固件体积约为 bootloader 的 6.5 倍,二者共同实现了 CTP 命令处理。由于固件升级无签名验证,攻击者可以刷入自制固件,使音箱在 USB 层面模拟键盘或 HID 设备,从而向主机注入任意按键。
攻击场景与影响
这一漏洞链使得带蓝牙功能的 Katana V2X 事实上成为一扇无线攻击入口。攻击者无需进入办公室或家中,仅需在蓝牙覆盖范围内(约 15 米)即可发起攻击。成功利用后,可在受害者完全不知情的情况下窃取凭证、安装后门或执行其他恶意操作。由于音箱通常被当作“可信”的外设,此类攻击往往难以被常规安全软件察觉。
研究员在其博客上公布了完整的漏洞发现过程,并确认 Creative 目前尚无计划发布补丁。这意味着所有在产的 Katana V2X 都可能长期暴露于该风险之下。对注重物理安全的用户而言,唯一有效的缓解措施是在不使用时断开音箱的蓝牙功能或 USB 连接。
本文参考来源:Hacker News
微信扫描下方的二维码阅读本文
