在我上一篇文章中，我谈到了反向工程我新的创意声霸 Katana V2X 的固件。最初只是想为与我的扬声器通信编写一个 Linux 工具，最终让我发现了漏洞，使得任何在大约 15 米范围内的攻击者都可以将任何 Katana V2X 转变为一个隐蔽的间谍工具和 Rubber Ducky - 所有这些都无需与设备进行配对或物理接触。CTprotocol 背景如我在上一篇文章中所述，Katana V2X 是一款 USB 连接的 PC 声音条。由于其 USB 连接，创意公司有一个应用程序允许您更改扬声器的设置 - DSP、LED 配置、输出源等等。为此，他们使用了一种称为 CTP（可能是创意传输协议的简称）的自定义协议。基本上，这似乎是一种相当简单的专有协议，用于发送各种命令并读取响应。我在这里不打算详细说明，但如果您感兴趣，我在上一篇文章中描述了它是如何工作的。然而，重要的是要注意，为了通过 USB 使用 CTP，您首先必须与设备进行挑战-响应身份验证。密钥是静态的，可以从随创意应用程序一起提供的二进制文件中推导出来，我不确定为什么会这样，但在您进行身份验证之前，扬声器将不会接受任何命令。好吧。还有一件事稍后会变得重要，那就是固件更新也是通过 CTP 进行的。这是我最初获得固件镜像的方式 - 我使用 Wireshark 嗅探 USB 流量并从捕获的数据中提取了数据。固件分析固件容器，虽然也是专有的，但本质上是一个原始的 Zip 文件，其中包含三部分具有重要价值的内容。首先是 FBOOT，我之前认为它是一个引导加载程序（因此命名），但也包含了一种扬声器的恢复模式。此恢复模式可以通过在开机时按住 SOURCE 按钮进入，并允许您从不良状态恢复。这使我的设备多次避免了被砖化，我对此非常感激。第二部分是 FMAIN，这是设备的主要固件。当您“正常”启动设备时，它将运行此固件。虽然 FBOOT 实现了与 FMAIN 相同的许多功能（例如，它们都处理 CTP 命令），但 FMAIN 的大小大约是 FBOOT 的 6.5 倍。FBOOT 和 FMAIN 都基于（相当重度修改的）FreeRTOS 版本，二进制文件中包含的字符串提示了这一点：/home/jieyi/mcuos2.5/kernel/freertos-8.2.3/。最后一点是 CHK2，这是对整个固件容器进行的 SHA-256 校验和，附加在最后。考虑到进行 CTP 身份验证所需的努力，虽然并不令人震惊，但我还是对看到除了 CHK2 SHA-256 校验和外，没有其他保护措施来闪存固件感到有些惊讶。我本希望在此找到签名检查，或者至少是 hashsum（secret_value + container_contents）类型的保护，但在我自己的工具 v2x-ctl 中重新实现固件升级功能后，我发现只要 CHK2 正确，设备就会愉快地接受已修补的固件。为了测试这一点，我做了一个相当简单的修改 - 我将引导时在设备段显示上显示的字符串 WELCOME 替换为 PATCHED。在闪存固件并重启设备后，我很高兴看到我的字符串显示出来：我作为黑客的部分觉得这太棒了 - 人们应该能够对他们购买和拥有的设备做他们想做的事情。作为安全专业人员的我认为，没有任何保护措施（就像需要为移动设备解锁引导加载程序一样）很不专业。但是如果您需要物理访问，以通过 USB 更新设备，那并不完全是世界末日。如果。每个人都喜欢蓝牙像所有“自尊”的扬声器一样，当然 Katana V2X 也需要具备蓝牙功能，尽管它很可能大部分时间都连接到 PC 或游戏机。当然，创意公司需要一个应用程序，让您能够通过蓝牙从您的手机控制扬声器的设置和华丽的 LED 灯光。BLE（蓝牙低能耗）的工作方式是，每个设备都有各种寄存器（称为 GATT 特征），如果您连接到设备，则可以对其进行写入、读取、订阅通知等。重要的是要注意，连接到设备时，您不需要（不一定）与之配对。您通常可以仅通过连接设备立即开始读取和写入特征的数据。配对建立加密，但可以在没有配对的情况下建立连接。在深入研究 Katana 的固件时，我发现内部 CTP 处理程序连接到 USB，并显然也连接到蓝牙。