Comment un haut-parleur USB peut infecter un PC à distance

Le chercheur Rasmus Moorats a découvert par hasard que le haut-parleur Sound Blaster Katana V2X, qui est très apprécié, pouvait être piraté à distance. Ce haut-parleur, qui se connecte via USB ou Bluetooth, utilise le protocole CTP (Creative Transport Protocol). Ce protocole permet d'envoyer des commandes sans authentification lorsque la connexion est Bluetooth. Le chercheur a pu reflasher le firmware du haut-parleur sans signature de code, ce qui a permis d'afficher le mot "patched" sur l'écran LED. Ensuite, il a modifié la description USB du haut-parleur pour qu'il soit reconnu comme un clavier. Grâce aux fonctions HID (Human Interface Device) déjà présentes dans le firmware, le haut-parleur a pu envoyer des frappes de touches à l'ordinateur connecté. L'ordinateur a exécuté la commande "echo pwned". Le chercheur a souligné que le Bluetooth reste toujours allumé, même en veille, et qu'il n'existe aucun moyen de le désactiver. Il a rapporté le problème à Creative Technologies, mais l'entreprise n'a pas répondu. CERT Singapore est intervenu et l'entreprise a déclaré que le comportement n'était pas une vulnérabilité. L'attaque nécessite que l'attaquant soit à portée Bluetooth. Le chercheur a testé l'attaque sur un ordinateur Windows. Un véritable attaquant pourrait exécuter PowerShell et désactiver les mises à jour du firmware, rendant l'appareil impossible à nettoyer. L'authentification challenge-response n'est requise que pour l'USB, mais la réponse correcte peut être extraite de l'application binaire qui accompagne le haut-parleur. Le chercheur a publié ses résultats dans un billet de blog. Il a expliqué que le haut-parleur utilise FreeRTOS, un système d'exploitation open source. Le chercheur a également noté que le haut-parleur implémente des fonctions HID limitées, mais qu'il a pu les étendre. L'attaque est une preuve de concept, mais elle montre une faille sérieuse dans la sécurité du périphérique.