피드로 돌아가기
Hacker NewsSecurity
원문 읽기
펌웨어 서명 검증 부재를 이용한 무선 RCE 및 HID 공격 구현
Hacking your PC using your speaker without ever touching it
AI 요약
Context
Creative Katana V2X 스피커의 CTP 프로토콜 기반 제어 구조 분석. USB 기반의 Challenge-Response 인증 체계는 존재하나, 펌웨어 업데이트 시 무결성 검증이 SHA-256 Checksum에만 의존하는 설계 결함 보유.
Technical Solution
- CTP 프로토콜 리버스 엔지니어링을 통한 커스텀 펌웨어 업데이트 도구 v2x-ctl 구현
- SHA-256 Checksum 패치를 통한 임의의 수정 펌웨어 플래싱 및 실행 권한 획득
- Bluetooth LE(BLE) GATT characteristics를 통한 CTP 핸들러 브리징 경로 식별
- FreeRTOS 기반 펌웨어 내 mem-exec 기법을 적용한 임의 코드 실행(RCE) 달성
- Watchdog Timer로 인한 시스템 리부팅을 회피하기 위해 USB Task 대신 Diagnostic Service Task에 페이로드 주입
- 주입된 코드를 통한 USB HID(Rubber Ducky) 기능 구현으로 PC 제어 권한 획득
실천 포인트
- 펌웨어 업데이트 시 단순 Checksum이 아닌 Cryptographic Signature 검증 프로세스 도입 여부 확인 - BLE 연결 시 페어링 및 암호화 강제 설정을 통한 비인증 접근 차단 - 임계 경로(Critical Path) 외의 Task Context에서 외부 입력 데이터 처리 시 Watchdog Timeout 설계 검토 - 하드웨어 제어 프로토콜의 인증 키를 바이너리에 정적으로 포함하는 안티 패턴 제거