ファームウェアをスピーカーの LED ディスプレイに「diverse」という単語を表示するだけの代替画像に置き換えることに成功した後、研究者はハッカーが他に何をするのか疑問に思い始めました。そこで彼は、Katana V2X を実行するオープンソース オペレーティング システムである FreeRTOS に注目しました。これには、スピーカーがヒューマン インターフェイス デバイスとして機能できるようにする一連の HID 機能が含まれており、これにはキーボード、マウス、Web カメラが含まれます。 HID 埋め込みスピーカーでは、音量の変更、サウンドの再生または遅延などの機能には制限がありますが、それ以外のことはほとんどできません。
研究者は、スピーカーの USB 記述子セットを変更できることを発見しました。これは基本的に、USB または Bluetooth に接続された周辺機器の機能をデバイスに通知するレポートです。彼は、スピーカーをキーボードとして報告する 2 番目のファイルを使用して、既存のアウトライナーを拡張することができました。次に、ファームウェアにすでに組み込まれているコードを使用して、キーストロークの送信プロセスを合理化しました。
これらすべてが Murats 氏にアイデアを与えました。自分のデバイスを使用して、HID を使用して接続されたコンピューターにコマンドを送信するスピーカーにコマンドを送信したらどうなるでしょうか。試行錯誤の末、彼はそれができることを発見した。水曜日に公開されたブログ投稿で、彼は次のように書いた。
すべてを連鎖させたところ、完全にリモートで、無線で、スピーカーに接続していなかったカスタム ファームウェアをスピーカーにアップロードすることができました。これにより再起動され、カスタム ファームウェアがフラッシュされ、起動後に echo pwned と入力すると実行されました。
実際の攻撃シナリオでは、キーストロークで powershell.exe などを開き、悪意のあるバーを 1 つ貼り付けますが、概念実証としては、これで十分でした。また、本物の攻撃者は、通常モードと回復モードの両方でファームウェアの更新ルーチンを無効にし、将来的にデバイスからマルウェアを消去したり、パッチを適用したりすることを不可能にします。
これは、スリープ モードであってもスピーカーの Bluetooth が常にオンになっており、それを無効にする明らかな方法がないという事実によってさらに悪化します。
スピーカーと USB 接続デバイスが対話できるようにするには、チャレンジ アンド レスポンス認証手順を正常に完了する必要があります。デバイスはソフトウェアが起動するたびにこのハンドシェイクを自動的に実行するため、通常、これはハッカーにとって問題になりません。ただし、接続されたデバイスで Katana V2X アプリが開いていない場合など、これは要件となります。
