Hack loa PC từ xa qua Bluetooth: Biến Creative Katana V2X thành công cụ BadUSB nguy hiểm

Một nhà nghiên cứu bảo mật vừa công bố chi tiết về một lỗ hổng nghiêm trọng affecting dòng loa thanh Creative Sound Blaster Katana V2X. Vấn đề này không chỉ dừng lại ở việc điều khiển loa, mà còn cho phép kẻ tấn công từ xa biến thiết bị âm thanh này thành một công cụ gián điệp hoặc thậm chí là một bàn phím ảo (BadUSB) để tấn công máy tính được kết nối.

Chuỗi PATCHED hiển thị trên loa sau khi flash firmware tùy chỉnh

Lỗ hổng trong giao thức CTP qua Bluetooth

Trong quá trình nghiên cứu và kỹ thuật đảo ngược (reverse engineering) firmware của loa Katana V2X để viết công cụ điều khiển trên Linux, tác giả đã phát hiện ra giao thức CTP (Creative Transport Protocol). Đây là giao thức độc quyền mà Creative sử dụng để giao tiếp giữa loa và ứng dụng điều khiển qua USB.

Vấn đề nằm ở chỗ, để thực hiện bất kỳ lệnh nào qua USB, người dùng phải thực hiện xác thực challenge-response. Tuy nhiên, khi Creative tích hợp Bluetooth Low Energy (BLE) vào loa để cho phép điều khiển từ điện thoại, họ đã "cầu nối" trực tiếp trình xử lý lệnh CTP sang kết nối Bluetooth mà không yêu cầu bất kỳ lớp xác thực nào.

Điều này có nghĩa là bất kỳ ai trong phạm vi khoảng 15 mét đều có thể kết nối đến loa Katana V2X mà không cần ghép đôi (pairing) và gửi các lệnh CTP trực tiếp. Kẻ tấn công có thể đọc thông tin, thay đổi cài đặt, và nguy hiểm nhất là cập nhật firmware tùy chỉnh.

Cập nhật firmware từ xa và biến loa thành BadUSB

Do quá trình cập nhật firmware cũng được thực hiện qua giao thức CTP, kết hợp với việc thiếu kiểm tra chữ ký số (signature check) nghiêm ngặt, kẻ tấn công có thể tải lên một bản firmware độc hại hoàn toàn mới thông qua Bluetooth.

Nhật ký hệ thống hiển thị loa được nhận diện là bàn phím HID sau khi bị patch

Tác giả đã chứng minh điều này bằng cách viết một đoạn mã Python để gửi bản firmware đã bị sửa đổi qua Bluetooth. Sau khoảng 10 phút, loa khởi động lại với bản firmware mới.

Điều đáng sợ hơn là loa Katana V2X được kết nối với PC qua USB và được hệ thống tin tưởng. Bằng cách sửa đổi firmware để khai thác khả năng HID (Human Interface Device) vốn có của loa (dùng để tăng giảm âm lượng), tác giả đã biến nó thành một bàn phím đầy đủ.

Trong bản proof-of-concept, loa sau khi khởi động sẽ tự động gõ lệnh echo pwned vào terminal của máy tính chủ. Trong một kịch bản tấn công thực tế, kẻ tấn công có thể mở PowerShell hoặc Terminal và dán các lệnh độc hại để cài đặt phần mềm gián điệp, đánh cắp dữ liệu hoặc mở cửa sau (backdoor).

Phản ứng của nhà sản xuất và giải pháp khắc phục

Quá trình báo cáo lỗ hổng này cho Creative gặp rất nhiều khó khăn. Họ không có kênh liên hệ bảo mật chính thức. Sau khi SingCERT (Trung tâm phản ứng sự cố máy tính Singapore) can thiệp, Creative đã mất gần hai tháng để phản hồi và kết luận rằng họ "không coi đây là một lỗ hổng bảo mật vì nó không tạo ra rủi ro an ninh mạng".

Hiện tại, chưa có bản vá chính thức nào từ Creative. Do đó, tác giả đã phát hành một công cụ mã nguồn mở tên là v2x-patcher. Công cụ này sẽ tải firmware chính thức từ server của Creative, vá nó để chặn hoàn toàn các lệnh CTP qua Bluetooth (có thể sẽ làm mất tính năng điều khiển từ điện thoại), sau đó flash vào loa qua USB để bảo vệ người dùng.

Nếu bạn đang sở hữu loa Creative Sound Blaster Katana V2X, nên cân nhắc sử dụng công cụ này hoặc hạn chế bật Bluetooth của loa khi không sử dụng để tránh bị tấn công từ xa.