Rain科技6月7日消息,安全研究员Rasmus Moorats在其博客文章中演示,创新Creative旗下Sound Blaster Katana V2X游戏回音壁存在严重蓝牙安全漏洞,攻击者可在约15米外无需配对、无需物理接触即可劫持设备,而Creative回应称“不构成网络安全风险”。
该回音壁通过Creative Transfer Protocol(CTP)与桌面应用通信。USB连接时需要响应握手验证身份,但蓝牙低功耗通道上同一协议完全不要求认证或配对,范围内任何设备均可读取设置、修改参数甚至推送固件。这一设计缺陷本质上是对蓝牙低功耗(BLE)安全机制的忽视:BLE虽然支持配对和加密,但厂商并未强制实施,导致攻击者可利用未加密的广播通道直接操作设备。类似问题在物联网设备中并不少见,但音像设备因其通常与电脑直连,风险更为隐蔽。
更致命的是,固件本身没有加密签名,仅有一个SHA-256校验和,Moorats修改固件后重新计算校验和即可通过。这意味着固件更新流程完全没有防篡改能力——任何攻击者只要获取到官方固件,就能植入恶意代码并重新打包。这与微软、苹果等主流科技公司对固件签名的严格做法形成鲜明对比,也凸显了消费电子产品安全设计的滞后。
他修改了设备的USB描述符,使其在原有媒体控制键之外额外报告为一个键盘,并覆写了固件中一个未使用的诊断任务,让设备每次启动时自动向主机输入并执行命令。这一手法与2014年Black Hat上Karsten Nohl和Jakob Lell提出的BadUSB攻击如出一辙,但差异在于:BadUSB需要物理插入恶意设备,而本漏洞中受害者信任的硬件本身就被从远程改写,攻击者无需任何物理接触。从攻击链来看,蓝牙通道的未认证弱点与固件无签名的缺陷叠加,形成了一个完整的远程代码执行路径。
虽然概念验证仅打印了“echo pwned”,但同样的手法完全可以打开PowerShell执行恶意指令。实际上,攻击者只需修改几条指令即可实现键盘记录、文件窃取甚至勒索软件植入。这种漏洞的利用门槛极低:任何具备蓝牙4.0以上功能的设备(如普通智能手机)都能在15米范围内发起攻击,且无需交互。
联系Creative的过程比发现漏洞更难,Moorats两次通过官网支持表单联系未果,最终通过新加坡网络安全应急响应团队SingCERT提交报告,SingCERT同样费尽周折才获得回复。Creative的回复是“不认为这是一个漏洞,因为它不构成网络安全风险”。这种回复在业内并不罕见,不少厂商出于品牌形象或成本考虑,倾向于低估安全风险。但客观而言,能够远程改写固件并模拟键盘输入,已明确构成完整的主机攻破路径,将其归类为“非安全风险”缺乏技术依据,也违背了负责任的漏洞披露原则。
Moorats最终自行发布了一款工具,下载官方固件后修补掉CTP蓝牙通道并重新刷入,但这很可能导致Creative移动应用无法使用,且没有厂商源码很难加入完善的认证机制。对于普通用户而言,目前最稳妥的做法是彻底禁用该回音壁的蓝牙功能,或者在不需要时拔掉USB连接。如果厂商始终不修复,这一漏洞将成为该设备生命周期内的永久风险,也提醒消费者在选购类似产品时需关注厂商的安全响应记录。
