피드로 돌아가기
GeekNewsSecurity
원문 읽기
Pwnd Blaster: 스피커를 전혀 만지지 않고 스피커로 PC 해킹하기
BLE 인증 부재를 이용한 펌웨어 변조 및 USB HID 공격 체인 구현
AI 요약
Context
Creative Katana V2X 사운드바의 USB CTP 명령 체계는 정적 키 기반 challenge-response 인증을 요구함. 반면 Bluetooth 경로는 GATT characteristic을 통해 동일한 CTP 명령을 인증 없이 처리하는 설계 결함을 보유함.
Technical Solution
- BLE GATT characteristic의 인증 누락을 통한 CTP 명령 무단 전송 경로 확보
- SHA-256 체크섬(CHK2)만 검증하고 서명 확인을 생략하는 펌웨어 업데이트 프로세스 악용
- USB Report Descriptor 수정으로 단순 미디어 제어 장치를 USB HID Keyboard로 인식하도록 변경
- Watchdog 재부팅 회피를 위해 USB 태스크 대신 유휴 상태인 diagnostic FreeRTOS 태스크에 페이로드 주입
- 20ms 간격의 키 입력 인젝션을 통해 호스트 PC에 임의 명령어(echo pwned) 실행 유도
- BLE 전송 속도 제약으로 인해 약 10분에 걸쳐 커스텀 펌웨어 업로드 및 플래싱 수행
실천 포인트
1. 다중 인터페이스(USB, BLE, WiFi 등) 제공 시 동일한 API 핸들러에 대해 인터페이스별 인증 격차 여부 검토
2. 펌웨어 업데이트 시 단순 체크섬(Checksum)이 아닌 암호화 서명(Digital Signature) 검증 필수 적용
3. USB Device Descriptor 정의 시 불필요한 HID 클래스 추가 가능성을 차단하는 펌웨어 무결성 보호 적용
4. 하드웨어 Watchdog 타이머가 비정상적인 태스크 점유나 지연을 감지하여 리셋하는 메커니즘의 유효성 검증