Después de reemplazar exitosamente el firmware con una imagen de reemplazo que simplemente mostraba la palabra “parcheado” en la pantalla LED del altavoz, los investigadores se preguntaron qué más podría hacer un pirata informático. Entonces centró su atención en FreeRTOS, el sistema operativo de código abierto que ejecuta Katana V2X. Contiene un conjunto de funciones HID que permiten que el altavoz actúe como un dispositivo de interfaz humana, clasificación que incluye teclado, mouse y cámara web. El altavoz implementa un HID limitado que permite cosas como cambiar el volumen y reproducir o pausar el sonido, pero no mucho más.
Los investigadores descubrieron que podría cambiar el conjunto de descriptores USB de un altavoz, que es esencialmente un informe que informa al dispositivo sobre las capacidades de un dispositivo conectado a USB o Bluetooth. Puede aumentar el conjunto existente de descriptores con un segundo conjunto de descriptores que informen que el hablante es un teclado. Luego utiliza el código incluido en el firmware para agilizar el proceso de envío de pulsaciones de teclas.
Todo esto le dio a Moorats una idea: ¿Qué pasaría si usara su dispositivo para enviar comandos a un altavoz que usa un HID para transmitirlos a una PC conectada? Después de algunas pruebas y errores, descubrió que podía hacerlo. en un blog correo publicado el miércoles, escribió:
Al juntarlo todo, puedo de forma remota, por aire, cargar firmware personalizado a mis parlantes que no he emparejado, lo que se reiniciará, actualizará el firmware personalizado y, después de reiniciar, escribir el comando echo pwned y ejecutar.
En un escenario de ataque real, presionaría una tecla para abrir PowerShell.exe o similar y pegaría una línea verdaderamente maliciosa en él, pero como prueba de concepto, esto es más que suficiente para mí. El atacante real probablemente también desactivaría la rutina de actualización del firmware en los modos normal y de recuperación, lo que haría imposible eliminar el firmware malicioso del dispositivo o parchearlo en el futuro.
Esto empeora por el hecho de que Bluetooth siempre está activado para el altavoz, incluso en modo de suspensión, sin una forma obvia de desactivarlo.
Antes de que el altavoz y el dispositivo conectado por USB puedan interactuar, deben completar con éxito el procedimiento de autenticación de desafío y respuesta. Debido a que el dispositivo realiza este protocolo de enlace automáticamente cada vez que se inicia el software, esto no suele ser un problema para los piratas informáticos. Pero en ciertos casos, como cuando la aplicación Katana V2X no se abre en el dispositivo conectado, esto es una necesidad.
