스피커의 LED 디스플레이에 “패치됨”이라는 단어만 표시하는 대체 이미지로 펌웨어를 성공적으로 교체한 후 연구원은 해커가 또 무엇을 할 수 있는지 궁금해했습니다. 그래서 그는 Katana V2X를 실행하는 오픈 소스 운영 체제인 FreeRTOS에 관심을 돌렸습니다. 여기에는 스피커가 휴먼 인터페이스 장치(키보드, 마우스 및 웹캠을 포함하는 분류)로 작동할 수 있도록 하는 일련의 HID 기능이 포함되어 있습니다. 스피커는 볼륨 변경, 사운드 재생 또는 일시 중지와 같은 작업을 허용하는 제한된 HID를 구현했지만 그 밖의 기능은 거의 없습니다.
연구원은 스피커의 USB 설명자 세트를 변경할 수 있다는 사실을 발견했습니다. 이는 기본적으로 USB 또는 Bluetooth로 연결된 주변 장치의 기능에 대해 장치에 알리는 보고서입니다. 그는 스피커가 키보드라고 보고하는 두 번째 설명자 세트를 사용하여 기존 설명자 세트를 확장할 수 있었습니다. 그런 다음 그는 펌웨어에 이미 포함된 코드를 사용하여 키 누르기 전송 프로세스를 간소화했습니다.
이 모든 것이 Moorats에게 아이디어를 주었습니다. 자신의 장치를 사용하여 HID를 사용하는 스피커에 명령을 보내 연결된 PC에 전달하면 어떨까요? 몇 번의 시행착오 끝에 그는 자신이 할 수 있다는 것을 깨달았습니다. 수요일에 게시된 블로그 게시물에서 그는 다음과 같이 썼습니다.
모두 함께 연결하여 완전히 원격으로 무선으로 페어링하지 않은 스피커에 사용자 정의 펌웨어를 업로드할 수 있었습니다. 그러면 재부팅되고 사용자 정의 펌웨어가 플래시되고 재부팅 후 echo pwned 명령을 입력하여 실행할 수 있었습니다.
실제 공격 시나리오에서는 powershell.exe 또는 이와 유사한 항목을 열기 위해 키 입력을 실행하고 거기에 실제로 악의적인 한 줄을 붙여 넣습니다. 그러나 개념 증명으로는 이것만으로도 충분했습니다. 또한 실제 공격자는 일반 모드와 복구 모드 모두에서 펌웨어 업데이트 루틴을 비활성화하여 나중에 장치에서 악성 펌웨어를 지우거나 패치하는 것을 불가능하게 만들 가능성이 높습니다.
이는 절전 모드에서도 스피커에 대해 Bluetooth가 항상 켜져 있고 이를 비활성화할 수 있는 명확한 방법이 없다는 사실로 인해 더욱 악화됩니다.
스피커와 USB 연결 장치가 상호 작용하려면 먼저 시도 및 응답 인증 절차를 성공적으로 완료해야 합니다. 소프트웨어가 부팅될 때마다 장치에서 자동으로 이 핸드셰이크를 수행하므로 이는 일반적으로 해커에게 문제가 되지 않습니다. 그러나 Katana V2X 앱이 연결된 장치에서 열려 있지 않은 경우와 같은 특정 경우에는 필수 사항입니다.
