Pwnd Blaster: Meretas PC lewat speaker tanpa menyentuh speakernya sama sekali

 (blog.nns.ee)
2 poin oleh GN⁺ 4 jam lalu | 1 komentar | Bagikan ke WhatsApp
  • Creative Sound Blaster Katana V2X dapat diubah oleh penyerang dalam jangkauan Bluetooth sekitar 15 m menjadi perangkat penyadap atau semacam Rubber Ducky jarak jauh dengan menjalankan perintah CTP dan pembaruan firmware tanpa pairing maupun kontak fisik
  • CTP pada USB mewajibkan autentikasi challenge-response berbasis kunci statis, tetapi jalur Bluetooth menerima perintah CTP yang sama tanpa autentikasi melalui GATT characteristic, sehingga memungkinkan pembacaan informasi dan perubahan pengaturan
  • Kontainer firmware terdiri dari FBOOT, FMAIN, dan CHK2; selama CHK2 yang berupa checksum SHA-256 cocok, firmware yang sudah dimodifikasi tetap diterima tanpa verifikasi tanda tangan
  • PoC mengunggah firmware kustom lewat BLE selama sekitar 10 menit, lalu setelah reboot speaker bertindak seperti keyboard USB HID dan mengetik serta menjalankan echo pwned
  • Setelah dihubungi melalui SingCERT, Creative menyatakan ini “tidak menimbulkan risiko keamanan siber” dan tidak menganggapnya sebagai kerentanan; firmware terbaru tetap rentan dan hanya ada patch tidak resmi untuk memblokir CTP-over-Bluetooth

Inti kerentanannya

  • Katana V2X adalah soundbar yang terhubung ke PC lewat USB, dan aplikasi Creative mengubah pengaturan seperti DSP, konfigurasi LED, dan sumber output melalui CTP
  • Untuk menulis perintah CTP melalui USB, autentikasi challenge-response harus dilakukan lebih dulu, dan kuncinya adalah nilai statis yang bisa diturunkan dari biner yang disertakan dalam Creative App
  • Pembaruan firmware juga dijalankan di atas CTP, dan image firmware awal diekstrak dengan menangkap lalu lintas USB menggunakan Wireshark
  • Pada Bluetooth Low Energy, ada kasus di mana perangkat dapat dihubungkan dan GATT characteristic dapat dibaca dan ditulis tanpa pairing; pairing membuat enkripsi, tetapi tidak selalu diperlukan untuk koneksi itu sendiri
  • Di dalam firmware Katana V2X, handler CTP internal ternyata terhubung bukan hanya ke USB tetapi juga ke Bluetooth; saat 5a 09 01 02 ditulis dari laptop ke characteristic 9e9daaec-3a10-4fe8-b69f-7397aff77886, string versi firmware lengkap dapat dibaca dari characteristic 9e9daaeb-3a10-4fe8-b69f-7397aff77886

Verifikasi firmware dan rantai serangan OTA

  • Kontainer firmware memiliki FBOOT yang terkait dengan mode pemulihan, firmware utama FMAIN yang dijalankan pada boot normal, serta CHK2 berupa checksum SHA-256 untuk seluruh kontainer
  • FBOOT dan FMAIN adalah kode berbasis FreeRTOS, sebagaimana ditunjukkan oleh string /home/jieyi/mcuos2.5/kernel/freertos-8.2.3/, dan ukuran FMAIN sekitar 6,5 kali lebih besar daripada FBOOT
  • Perangkat menerima firmware yang telah dimodifikasi selama CHK2 benar; saat firmware yang mengganti string WELCOME menjadi PATCHED di-flash, layar segmen menampilkan PATCHED saat boot
  • Skrip Python yang mengimplementasikan ulang prosedur pembaruan firmware yang sama melalui BLE berhasil mengunggah firmware kustom tanpa pairing atau autentikasi, dan karena kecepatan BLE prosesnya memakan waktu sekitar 10 menit
  • Speaker memiliki mikrofon, sehingga secara teoretis firmware kustom dapat berfungsi sebagai perangkat pemantauan tersembunyi yang mendengarkan percakapan dan mengirimkannya ke penerima melalui Bluetooth

Metode injeksi keyboard USB

  • Katana V2X dalam konfigurasi normal berfungsi sebagai perangkat tepercaya yang terhubung ke PC melalui USB
  • Perangkat ini memang belum merupakan keyboard penuh, tetapi sudah mengidentifikasi dirinya sebagai perangkat HID Consumer Control untuk kontrol media seperti volume serta play/pause
  • Dengan menambahkan entri report descriptor kedua ke USB report descriptor di firmware, perangkat bisa dibuat juga terdeteksi sebagai keyboard
  • Di dalam firmware sudah ada rutin untuk mengirim data HID, dan input tombol dapat dikirim dengan memanggilnya sambil memberikan data tombol tekan dan lepas
  • Alih-alih mem-bypass alur eksekusi yang rumit, peneliti menimpa task FreeRTOS diagnostic yang tampaknya tidak melakukan banyak hal saat penggunaan normal agar kode kustom dijalankan saat boot
  • Task tersebut menunggu sekitar 20 detik hingga subsistem USB siap, lalu dengan interval sekitar 20 ms mengetik echo pwned dan menekan Enter sebelum berhenti
  • Patch final terdiri dari USB report sepanjang 83 byte, assembly ARM/Thumb 102 byte untuk injector input tombol, dan 2 byte untuk setiap input tombol yang akan dikirim
  • Dalam serangan nyata, penyerang bisa membuka program seperti powershell.exe lalu menempelkan perintah one-liner berbahaya; jika penyerang menonaktifkan rutin pembaruan firmware untuk mode normal dan mode pemulihan, penghapusan firmware berbahaya dan patch di masa depan bisa menjadi mustahil
  • Bluetooth pada speaker selalu aktif bahkan dalam mode hemat daya, dan tampaknya tidak ada cara untuk mematikannya

Mitigasi dan kronologi pengungkapan

  • Creative tidak memiliki kontak keamanan publik, dan saluran kontak umum pun sulit ditemukan selain formulir dukungan di situs web
  • Setelah dua kali mencoba menghubungi lewat formulir dukungan, SingCERT ikut terlibat sebagai mediator
  • Creative merespons SingCERT hampir dua bulan kemudian dan menjawab bahwa ini “tidak menimbulkan risiko keamanan siber”, sehingga tidak dianggap sebagai kerentanan
  • Tidak ada patch resmi dari Creative, dan firmware terbaru pun tetap rentan
  • Mitigasi tidak resmi memblokir CTP-over-Bluetooth di firmware, tetapi perubahan ini kemungkinan besar akan merusak aplikasi mobile Creative
  • v2x-patcher mengunduh firmware resmi dari server Creative, menambalnya di memori, lalu mengunggahnya ke Katana V2X yang terhubung melalui USB
  • Seluruh pengujian dan reverse engineering dilakukan pada firmware versi 1.3.230619.1820

Detail reverse engineering

  • FMAIN.bin bukan image tunggal, melainkan struktur scatter-loaded, sehingga offset file yang berbeda dimuat ke alamat yang berbeda pula
  • Analisis otomatis Ghidra membutuhkan base address dan memory map yang benar; setelah tata letaknya disimpulkan lalu diverifikasi dengan pembacaan memori perangkat, hasil analisis yang valid pun diperoleh
  • Pointer string tidak dimuat secara langsung, melainkan melalui pasangan movw dan movt; sebuah skrip yang mencari pasangan yang dimuat ke register yang sama dan membuat referensi DATA bila menunjuk ke memori valid menghasilkan sekitar 13 ribu referensi
  • Agar pengujian tidak perlu selalu me-reflash firmware, handler echo untuk CTP opcode 0x54 ditimpa agar memproses perintah baca, tulis, dan eksekusi
  • Handler kustom final berukuran 96 byte dan masih muat dalam ukuran handler asli yang sekitar 106 byte
  • Saat beberapa input tombol dijalankan lewat mem-exec dalam konteks task pemrosesan USB, akumulasi delay vTaskDelay menyebabkan perangkat reboot karena watchdog per-task
  • Setelah kode input tombol disuntikkan ke task layanan diagnostic alih-alih dipanggil langsung dari task USB, masalah watchdog pun hilang

Bacaan terkait

1 komentar

 
GN⁺ 4 jam lalu
Pendapat Hacker News

  • Lucu melihat komentar-komentar yang jelas tidak membaca artikelnya dengan benar, atau bahkan sama sekali tidak membacanya. Ini pada dasarnya situasi seperti bucket S3 publik pada perangkat Bluetooth
    Meski begitu, pekerjaannya sendiri benar-benar keren. Saya kira akan jauh lebih sulit mengubah perangkat yang terhubung lewat USB menjadi jalur serangan, tetapi ternyata cukup dengan meniru keyboard, membuka terminal lokal, dan menjalankan perintah berbahaya. Karena ini bukan terminal dengan hak admin, dampaknya memang agak terbatas, tetapi di Windows banyak pengguna yang asal menekan prompt UAC, jadi sepertinya di cukup banyak PC ini bisa memberi akses penuh

  • Menurut email SingCERT, vendornya mengatakan, “ini tidak menimbulkan risiko keamanan siber sehingga kami tidak menganggapnya sebagai kerentanan.” Jadi menulis firmware arbitrer secara nirkabel ke perangkat yang terhubung ke komputer orang lain lewat USB, tanpa pairing sekalipun, katanya bukan celah keamanan

    • Sikapnya seperti, “cuma bisa dibuat mengetik huruf, memangnya apa bahayanya?”
      Jadi penasaran ada berapa banyak perusahaan periferal lain yang tampaknya beroperasi tanpa tim keamanan. Sepertinya masih banyak kerentanan seperti ini yang cuma belum ditemukan. Adik saya pernah terbangun jam 2 pagi karena anak-anak sekitar menyambung ke speaker Bluetooth dan memutar suara kentut berulang-ulang pada volume maksimum; itu pun mungkin cuma puncak gunung es dari penyalahgunaan Bluetooth yang berniat jahat
    • Kalau seseorang pergi ke showroom Creative, acara penjualan, atau tempat seperti CES lalu “menambal” semua perangkat di sana, jawaban itu akan berubah sangat cepat
    • Kutipan soal risiko itu tampaknya salah paham total tentang konsep risiko. Pertama ada kerentanan, lalu barulah digabung dengan dampak dan kemungkinan untuk menghasilkan risiko
      Secara definisi, kerentanan dengan risiko rendah selalu ada karena dampaknya kecil atau kemungkinannya rendah. CVE memang punya skor, tetapi risiko nyata dan apakah risikonya dapat diterima sebelum atau sesudah mitigasi ditentukan oleh use case. “Tidak ada risiko => tidak ada kerentanan” adalah penalaran yang salah sejak awal, sedangkan “tidak ada kerentanan => tidak ada risiko” masih bisa disetujui
    • Hal yang sama bisa dikatakan tentang komputer mana pun yang menjalankan macOS atau Windows. Fakta bahwa Anda bisa menjalankan perangkat lunak Anda sendiri di sana tidak otomatis berarti ada kerentanan
      Tetapi tetap aneh jika antarmuka untuk re-flash dibiarkan terbuka lewat Bluetooth. Setahu saya, pairing ke speaker seharusnya memerlukan akses fisik
      Koreksi: saya salah. Ini adalah endpoint BTLE yang bekerja tanpa pairing. Kalau begitu ini kerentanan yang benar-benar tidak masuk akal. Semoga ditambal dengan cara yang tidak mencabut kemampuan menjalankan perangkat lunaknya sendiri
    • Saya bahkan tidak ingat lagi apa yang dulu saya pelajari tentang Creative Labs, tetapi saat mulai membaca kasus ini saya sudah yakin Creative Labs akan tetap berhasil mengacaukannya entah bagaimana

  • Artikelnya ditulis dengan baik dan mudah dipahami, jadi layak dibaca sekilas
    Singkatnya, penulis menemukan cara melakukan penulisan ulang firmware arbitrer lewat Bluetooth pada soundbar Creative Sound Blaster Katana V2X, tanpa perlu autentikasi yang berarti maupun interaksi pengguna
    Karena soundbar ini terhubung langsung ke komputer host lewat USB, firmware-nya bisa ditambah descriptor agar dikenali sebagai keyboard. Setelah itu, mengirim input tombol ke PC menjadi mudah. Soundbar ini juga punya mikrofon, jadi penyerang bisa mengubahnya menjadi alat penyadap
    Sudah dilaporkan ke Creative dan SingCERT, tetapi perusahaan baru menjawab dua bulan kemudian bahwa “ini tidak menimbulkan risiko keamanan siber sehingga kami tidak menganggapnya sebagai kerentanan”
    Penulis merilis patcher firmware yang menonaktifkan protokol transfer yang cacat itu. Caranya memang agak kasar dan berpotensi merusak fungsi aplikasi Bluetooth resminya juga, tetapi tampaknya itu yang terbaik yang bisa dilakukan tanpa kerja sama produsen

  • Bahkan produsen lama pun cukup sering membuat perangkat terlebih dulu lalu menempelkan perangkat lunak sebagai urusan belakangan. Bukan cuma keamanan, mereka juga nyaris tidak memikirkan patch, pembaruan, dan ekosistem perangkat lunak yang terus berubah sepanjang siklus hidupnya
    Saya bahkan pernah melihat merek perangkat yang menyerahkan perangkat lunaknya ke perusahaan pengembang outsourcing kecil, lalu perusahaan itu tutup, menghilang, atau berhenti berbisnis sehingga produsennya bahkan tidak punya source code. Akibatnya mereka tidak lagi mampu memperbaiki atau meningkatkan perangkat lunak yang menjalankan perangkat itu, dan setelahnya middleware, UI, serta lapisan koneksi sementara pun menumpuk berlapis-lapis

    • Menakutkan betapa sering hal seperti ini terjadi. Dalam situasi sekarang, ketika periferal komputer dan ponsel murah terjual dalam jumlah besar setiap menit, praktis tidak ada cara realistis bagi lembaga mana pun untuk mengawasi dan mengatur semuanya
      Kenyataannya, sepertinya cukup banyak perangkat yang firmware-nya ditulis bukan oleh “pengembang outsourcing kecil”, melainkan orang semacam peretas rantai pasok

  • Kenapa berpikir sekecil itu? Speaker itu sendiri bisa dipakai sebagai penyerang
    Bahkan script kiddie mana pun yang memakai LLM mungkin bisa membuat worm yang menyebar lewat rantai pasok. Bisa saja speaker diretas langsung di lantai pabrik lalu dibuat memutar musik Rickroll atau semacamnya
    Jadi penasaran apakah saat itu Creative masih akan bersikeras bahwa ini “tidak menimbulkan risiko keamanan siber”
    Bonusnya, kalau sambil menutup lubang keamanan mereka juga menonaktifkan fungsi flash firmware yang sah, maka produsen harus menjailbreak speaker untuk memperbaikinya

    • Tinggal flash worm ke perangkat lalu kirim sebagai RMA, selesai
    • Dulu mungkin bisa. Model-model terbaru makin menerapkan pembatasan yang lebih keras dan menyingkirkan model lama, bahkan sampai meminta identitas pemerintah

  • Tidak terlihat bagus bahwa karena produsen tidak menganggapnya sebagai kerentanan, penulis sampai harus merilis patch pihak ketiga

    • Memangnya mengejutkan? Peretasan penulis memang hebat, dan kalau jadi target dampaknya bisa besar, tetapi secara keseluruhan dampaknya sangat kecil. Produsen tidak punya banyak alasan untuk peduli
      Agar menjadi korban, Anda harus punya perangkat ini, penyerang harus tahu itu, dan harus berada dalam jarak dekat. Tinggal ingat dialog dari Fight Club
      A = jumlah speaker yang terpasang di lapangan
      B = persentase yang mungkin diretas
      C = rata-rata nilai penyelesaian di luar pengadilan
      Keputusan: jika biaya tidak melakukan recall atau perbaikan lebih besar daripada biaya recall, maka recall dimulai. Biaya terbesar adalah jika orang-orang berhenti membeli speaker mereka di masa depan, dan itu tampaknya tidak akan terjadi

  • Jika memimpin organisasi seperti Mossad, saya akan menghabiskan sebagian besar anggaran untuk membeli semua perangkat Bluetooth yang ada di pasaran, lalu merekrut lulusan ilmu komputer Israel yang sedang kekurangan pekerjaan untuk mencari kerentanan seperti ini dan mengubahnya menjadi kumpulan alat yang mudah disebarkan
    Misalnya, jika ingin aset yang bisa mengakses kantor pemerintahan Iran berjalan-jalan di dalam gedung sambil membawa ponsel dan mengambil alih sebanyak mungkin komputer. Dipikir-pikir, mungkin memang itu yang sedang mereka lakukan

    • Arah pikirnya agak terbalik. Di Israel memang sejak awal tidak ada begitu banyak lulusan ilmu komputer. Talenta terbaik hampir semuanya sudah melewati Unit 8200
      Ini pada dasarnya lebih mirip program magister teknik komputer yang sepenuhnya disosialisasikan, dan karena merupakan organisasi intelijen sinyal, mereka mempelajari hal-hal seperti ini. Setelah masa dinas 2~3 tahun selesai, mereka tidak punya utang pinjaman kuliah, pemerintah banyak menyediakan modal awal startup, dan ekosistem TLV berjalan seperti Bay Area versi kecil
      Tinggal bersama orang tua juga lebih diterima secara sosial, jadi banyak orang berusia 20-an yang tidak punya utang, pengeluaran bulanan rendah, memiliki kemampuan teknis kuat dari dinas militer, berada di pusat pendirian startup, dan punya akses modal yang baik. Hasilnya, terutama di bidang keamanan siber, banyak lahir unicorn (https://www.techaviv.com/unicorns)
      Dibandingkan AS, orang harus fokus pada pendidikan sarjana 4 tahun, menanggung utang besar, membayar sewa, dan bersusah payah mencari modal awal. Pola pikir seperti “tinggal memanfaatkan sisa-sisa dari sistem yang rusak” sejak awal sudah melewatkan sudut pandang bahwa sistem yang sukses itu memang ada
    • Pelatihan seperti ini kemungkinan hanya setingkat kesalahan pembulatan dalam anggaran keamanan nasional atau badan intelijen negara mana pun. Sekarang dengan AI, pemindaian awal terhadap perangkat dan pemilihan kandidat untuk analisis manual juga bisa diotomatisasi
      Saya akan cukup terkejut kalau ini bukan praktik standar. Namun bisa juga produktivitasnya lebih rendah dari yang dibayangkan sehingga tidak sepadan dengan upayanya. Meski begitu, melihat kasus ini, tampaknya hasilnya bisa cukup baik, dan mungkin perlu dibandingkan dengan cara-cara lain milik badan intelijen yang tidak kita ketahui
    • Sejalan dengan usulan itu, mungkin akan lebih mudah jika langsung membuat dan menjual perangkat yang cacat, artinya sudah ditanami backdoor
      Yang lebih mudah itu pemasaran, atau mencari bug? :-)
    • Mustahil semua badan intelijen di dunia tidak melakukan ini
    • NSO Group(https://en.wikipedia.org/wiki/NSO_Group) mungkin adalah contoh seperti itu. Badan intelijen Israel bisa saja menanamkan kerentanan pada perangkat murah berkualitas buruk, atau perangkat mahal berkualitas buruk seperti ini, lalu organisasi Israel seperti NSO atau yang mirip NSO memanfaatkannya. Kita juga sudah tahu mereka menjual pager

  • Saya menulis firmware, khususnya menangani firmware perangkat yang mendukung Bluetooth, dan perusahaan memblokir situs web ini

  • Orang yang menyukai teknologi membeli speaker super pintar yang terhubung ke semua komputer di rumah dan bahkan mengendalikan mesin kopi super pintar agar menyeduh kopi segar saat Miles Davis diputar
    Orang yang memahami teknologi menaruh kapak di samping pemanggang roti

    • Itulah makna asli hacker

  • Saya sudah tidak sabar menunggu kanal asal jadi mengunggah video tentang ini dan YouTube menampilkannya di beranda saya sekitar 4 hari kerja kemudian

    • Kamu tahu bahwa kalau penyimpanan riwayat tontonan YouTube dimatikan, berandanya sendiri bisa hilang?
    • Tetap saja, LinkedIn bisa lebih dulu memuatnya dan merebut semua ketenarannya