游戏回音壁零日漏洞曝光：15米外可隔空劫持电脑

6月7日，安全研究员Rasmus Moorats在博客中披露了一个极为严重的漏洞——Creative Sound Blaster Katana V2X游戏回音壁的蓝牙实现存在致命缺陷。攻击者只需在15米以外，无需任何配对流程、完全不接触物理硬件，即可远程劫持设备。而Creative官方的回应却是：“这不构成网络安全风险。”

这款回音壁通过名为Creative Transfer Protocol（CTP）的协议与桌面应用通信。当使用USB连接时，设备会进行握手验证身份，逻辑尚在合理范围。然而，蓝牙低功耗通道上的同一协议完全不要求任何认证或配对——换言之，任何在信号覆盖范围内的设备都能随意读取配置、篡改参数，甚至直接推送固件。

更致命的是，固件本身没有任何加密签名，仅附带了一个SHA-256校验和。Moorats修改固件后重新计算校验和，便能轻易通过验证，没有任何防护机制能阻挡他。

他在概念验证中完成了两项操作：一是修改设备的USB描述符，使其在原有媒体控制键之外额外伪装成一个键盘；二是覆写固件中一个闲置的诊断任务，让设备每次启动时自动向主机发送并执行一条命令。

虽然目前的PoC仅打印了一句“echo pwned”，但同样的手法完全可以替换为打开PowerShell执行任意恶意指令。这本质上就是2014年Black Hat大会上Karsten Nohl和Jakob Lell演示的经典BadUSB攻击，最大区别在于：现在无需插入伪造U盘，受害者自己信任的硬件就能从房间另一头被悄无声息地改写。

有意思的是，联系Creative的过程比发现漏洞本身还要曲折。Moorats两次通过官方支持表单沟通均无回应，最终不得不经由新加坡网络安全应急响应团队SingCERT提交报告。SingCERT那边也费了很大力气才总算拿到Creative的答复——结果就是那句：“不认为这是一个漏洞，因为它不构成网络安全风险。”

最终，Moorats自行发布了一款工具：下载最新固件，修补CTP蓝牙通道，然后重新刷入设备。但问题是，这样做很可能导致Creative的移动应用无法正常使用，而且缺乏厂商的源码支持，很难在固件中加入完善的认证机制——说白了，这只是一个无奈的临时解药。

来源：互联网