Creative Katana V2X 漏洞:藍牙喇叭點樣變成入侵電腦跳板
Bluetooth 控制協定加 USB 信任鏈,先係今次風險核心
發生咩事
Ars Technica 報道嘅呢單 Sound Blaster Katana V2X 漏洞,麻煩位唔喺音質或者 app bug,而係一隻平時放喺枱面嘅 soundbar,可以俾附近嘅人隔空改 firmware。研究員 Rasmus Moorats 嘅 PoC 顯示,攻擊者只要喺大約 15 米藍牙範圍內,毋須同喇叭配對、毋須掂到機身,都可以經 Bluetooth Low Energy 對 Katana V2X 下指令;之後呢隻喇叭再靠 USB 連住電腦,變成可輸入鍵盤指令嘅 HID 裝置。呢個組合先係件事值得睇嘅地方。
圖片:Creative
點解會串到咁遠
Moorats 本來係想寫 Linux 工具同自己部喇叭溝通,結果拆到 Creative 嘅 CTP 控制協定。官方 USB 路徑本身有 challenge-response 驗證,但佢發現同一套 CTP 俾 BLE 直接橋接出去,讀 firmware 版本、改設定、行 firmware upgrade 都冇先做同等驗證。再加上 firmware container 只靠 SHA-256 checksum,冇見到簽名驗證;checksum 算返啱,裝置就接受改過嘅 firmware。
圖片:Creative
USB 信任鏈先係重點
好多電腦周邊裝置都會俾系統自動信任,Katana V2X 原本已經會以 USB HID consumer control 形式出現,方便控制音量、播放暫停。研究員只係喺 firmware 入面加咗 keyboard descriptor,再重用現有 HID send routine,PoC 就做到開機後隔一陣打出 echo pwned。真實攻擊唔會咁可愛,換成開 terminal / PowerShell 同落 payload 並唔難;可怕嘅係喇叭仍然可以正常播歌,用家未必即刻察覺。
暫時只當 V2X 個案處理
現有公開資料集中喺 Sound Blaster Katana V2X(MF8400),我未見到同等披露指向 Katana V2 或其他 Creative 喇叭,所以唔應該一棍打晒所有 USB 喇叭。香港 Creative 官方頁查稿時仍列出 Katana V2X,標價 HK$2,188 並顯示有貨;官方頁亦寫明支援 USB-C、HDMI ARC、光纖、AUX、Bluetooth 5.0,同內建波束成形咪。換句話講,呢類產品會同工作電腦、gaming PC、Mac 長期共用同一張枱,風險唔係只存在實驗室。
用家而家可以點做
最乾淨嘅答案應該係等官方 firmware 修補,但截至查稿,我未見到 Creative 發 security advisory;Moorats 亦寫到 Creative 透過 SingCERT 回覆,指佢哋唔視為 cybersecurity risk。研究員有出第三方 v2x-patcher,做法係攞官方 firmware 後封住 CTP-over-BLE,再經 USB flash 入去;呢招可能令 Creative 手機 app 失效,而且刷 firmware 本身有風險,普通用家唔好當成一鍵保平安。
比較實際嘅做法:
- 先開 Creative App 或去 support 頁睇 firmware 版本,同時留意官方更新。
- 用 USB 連電腦時,唔好長期放喺陌生人可接近嘅共用空間;唔用就拔 USB,長時間離開最好斷電。
- 如果某個裝置真係有 Bluetooth off switch,就關;但呢款研究員指似乎冇得真正關 Bluetooth,所以唔好幻想 reset Bluetooth 就等於修補。
我嘅睇法係,呢單要帶走嘅訊息唔應該停喺「藍牙喇叭好恐怖」。廠商做 connected peripheral 時,firmware signing、BLE authentication、security contact 呢啲唔可以當 enterprise 先需要。你枱面每一件有藍牙、會更新 firmware、又插 USB 嘅 gadget,其實都係一部細電腦;佢平時負責播歌,出事時就可能負責打字。
參考來源
- Ars Technica — How a USB-connected speaker can infect a PC without ever being touched — original report
- Pwnd Blaster: Hacking your PC using your speaker without ever touching it — 研究員 Rasmus Moorats 嘅原始技術 write-up,確認 CTP、BLE、firmware、HID PoC 同披露時間線。
- v2x-patcher 0.1.0 — 第三方緩解工具說明,確認佢係封住 CTP-over-BLE,並列明使用限制同風險。
- Sound Blaster Katana V2X - Creative Labs Hong Kong — 香港官方產品頁,確認本地官方標價、有貨狀態、連接方式同官方產品圖。
- Creative Worldwide Support - Sound Blaster Katana V2X — 官方支援下載頁,確認 V2X support/downloads 入口同 Creative App 版本。
- Sound Blaster Katana V2X: Access Device Settings — 官方 knowledgebase,確認 V2X Device Settings 可睇 FW VER / FW UPG、BT reset 同 factory reset 等項目。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。
