无需触碰：通过扬声器蓝牙接口远程劫持你的 PC

背景

近期，安全研究员在逆向工程其新购入的 Creative Sound Blaster Katana V2X 音箱固件时，发现了一系列严重的安全漏洞。这项研究最初旨在为 Linux 系统开发一款能与该音箱通信的工具，但最终演变成了一次深入的安全审计。

研究发现，任何距离 Katana Vana V2X 约 15 米范围内的攻击者，无需与设备配对，也无需物理接触，即可将其转化为隐蔽的监听工具或类似 Rubber Ducky（一种可模拟键盘输入的攻击设备）的远程攻击载体。这一发现揭示了该设备在固件更新机制和蓝牙通信协议上的重大设计缺陷。

核心内容

CTP 协议与 USB 接口的局限性

Katana V2X 是一款通过 USB 连接 PC 的条形音箱。为了调整 DSP、LED 配置和输出源等设置，Creative 提供了一个专用应用程序，该应用通过一种名为 CTP（Creative Transport Protocol，推测全称）的自定义专有协议与设备通信。

在通过 USB 使用 CTP 协议之前，设备要求执行挑战-响应认证（Challenge-Response Authentication）。虽然该认证密钥是静态的，且可以从 Creative 应用程序的二进制文件中推导出来，但设备在未完成认证前会拒绝任何命令。此外，固件更新也是通过 CTP 协议进行的，研究人员正是通过 Wireshark 嗅探 USB 流量并提取数据，从而获得了固件镜像。

固件分析与签名验证缺失

固件容器本质上是一个原始的 Zip 文件，包含三个关键部分：

1. FBOOT：除了作为引导加载程序外，还包含一种恢复模式。通过按住 SOURCE 按钮开机可进入此模式，用于从损坏状态恢复。
2. FMAIN：设备正常启动时运行的主固件。其大小约为 FBOOT 的 6.5 倍，两者均基于修改版的 FreeRTOS（二进制字符串暗示版本为 8.2.3）。
3. CHK2：附加在固件容器末尾的 SHA-256 校验和。

令人惊讶的是，尽管 CTP 认证过程复杂，但固件更新机制缺乏足够的保护。除了易于修补的 CHK2 SHA-256 校验和之外，没有发现数字签名检查或 hashsum(secret_value + container_contents) 类型的保护机制。研究人员重写了固件升级功能工具 v2x-ctl，发现只要 CHK2 校验和正确，设备就会接受经过修改的固件。作为测试，研究人员将启动时的欢迎字符串从 "WELCOME" 替换为 "PATCHED"，并在刷新固件后成功看到修改后的字符串。这表明，虽然拥有物理 USB 访问权限是更新固件的前提，但固件本身缺乏完整性验证。

蓝牙接口（BLE）的安全漏洞

像大多数现代音箱一样，Katana V2X 支持蓝牙低功耗（BLE）。Creative 提供了手机应用，允许用户通过蓝牙控制音箱设置和 LED 灯光。

BLE 通信基于 GATT 特性（寄存器）。值得注意的是，连接设备并不一定需要配对（Pairing），配对主要用于建立加密，但连接本身可以在未配对的情况下建立。研究人员在固件中发现，内部的 CTP 处理程序桥接到了 USB 和蓝牙接口。

当研究人员尝试通过手机应用连接音箱时，应用提示“请按电源按钮配对”。通过蓝牙嗅探，研究人员观察到手机向特定特性写入数据以启动配对过程。关键发现在于，配对过程中写入的数据以字节 5a 开头，这与所有 CTP 命令的起始字节相同。

出于直觉，研究人员直接从笔记本电脑通过蓝牙连接到音箱，并发送了 CTP 命令 5a 09 01 02（用于读取固件版本，该命令在 USB 上需要认证）。结果，音箱通过蓝牙特性返回了完整的版本字符串。这证明任何人只需在蓝牙范围内连接 Katana V2X，即可发送 CTP 命令、读取信息或更改设置，完全无需认证或配对。

远程空中固件更新与攻击向量

既然固件更新通过 CTP 进行，且任何人都可以构造有效的自定义固件，研究人员推测攻击者可以通过蓝牙远程上传自定义固件，而无需认证或配对。

经过处理一些 BLE 的 quirks（特性），研究人员编写了一个 Python 脚本，通过蓝牙执行与 v2x-ctl 相同的固件升级操作。由于 BLE 速度较慢，上传耗时约 10 分钟，但成功后音箱再次显示了 "PATCHED" 欢迎信息。

这一漏洞带来了严重的潜在后果：

1. 隐蔽监听：音箱内置麦克风。攻击者可以上传自定义固件，将音箱转化为隐蔽的监控设备，监听周围对话并通过蓝牙转发给接收器。
2. 远程键盘注入（Rubber Ducky 效应）：在标准设置中，音箱通过 USB 连接 PC，被视为可信的 USB 设备。如果攻击者编写自定义固件，强制音箱模拟键盘输入，它就可以在用户不知情的情况下打开终端并执行任意命令。这使得音箱变成了一个远程的、无需物理连接的 Rubber Ducky 攻击设备。

关键要点

• 认证绕过：Creative Sound Blaster Katana V2X 的蓝牙接口存在严重缺陷，攻击者无需配对即可通过 BLE 发送 CTP 命令，因为蓝牙桥接了未认证的 CTP 处理程序。
• 固件完整性缺失：固件更新机制仅依赖易于计算的 SHA-256 校验和（CHK2），缺乏数字签名或密钥哈希保护，允许攻击者刷入任意修改后的固件。
• 物理隔离失效：尽管固件更新通常需要通过 USB 物理连接，但一旦通过蓝牙成功刷入恶意固件，攻击者即可利用 USB 连接将音箱转化为键盘模拟器，远程执行命令。
• 隐私与安全风险：
  • 监听风险：恶意固件可将麦克风数据通过蓝牙外传。
  • 系统控制权丧失：恶意固件可模拟 HID 设备（键盘），在用户无感知的情况下执行系统级命令。
• 技术基础：设备固件基于 FreeRTOS，CTP 协议是控制音箱的核心接口，且该协议在 USB 和蓝牙后端均有实现。

意义与影响

这一发现凸显了物联网（IoT）和智能音频设备中普遍存在的安全隐患。制造商往往专注于功能实现（如多协议支持：USB 和 BLE），而忽视了不同接口之间的安全边界一致性。

1. 协议设计缺陷：将需要高安全认证的 USB 协议（CTP）直接桥接到无需认证的 BLE 接口，是典型的安全架构失误。蓝牙的便利性不应以牺牲核心控制协议的安全性为代价。
2. 固件更新机制薄弱：缺乏公钥基础设施（PKI）或签名验证的固件更新机制，使得设备极易受到中间人攻击或物理接触后的恶意刷写。即使是“简单”的校验和验证，在缺乏密钥保护的情况下也形同虚设。
3. 可信外设的信任滥用：USB 设备通常被操作系统视为可信输入源。将音箱这种非传统 HID 设备转化为键盘模拟器，利用了操作系统对 USB 设备的默认信任策略。这表明，任何连接到 PC 的 USB 设备都应被视为潜在的攻击面，无论其初衷是音频输出还是其他功能。
4. 用户隐私威胁：对于拥有麦克风的智能设备，远程固件劫持意味着物理环境中的对话可能被窃听。这要求用户意识到，即使设备未主动配对，只要处于蓝牙范围内，其固件完整性就可能受到威胁。

此案例提醒设备制造商和安全研究人员，必须对多协议接口进行严格的安全审计，确保固件更新机制具备强完整性验证，并重新评估“可信外设”在复杂攻击链中的角色。对于用户而言，在固件发布官方安全补丁之前，应谨慎对待此类设备的蓝牙连接，并考虑在物理上断开不必要的 USB 连接以阻断潜在的键盘注入攻击路径。