Firmware-Manipulation per Bluetooth: PC über verbundene Soundbar gehackt

Der estnische Sicherheitsforscher Rasmus Moorats, der schon früher durch spannende Hacking-Projekte aufgefallen ist, hat Sicherheitslücken in seiner Soundbar des Typs Creative Sound Blaster Katana V2X entdeckt. Wie der Forscher in einem Blogbeitrag(öffnet im neuen Fenster) schilderte, war es ihm damit möglich, per Bluetooth die Firmware der Soundbar zu manipulieren und anschließend einen PC zu steuern, der per USB mit dem Soundsystem verbunden war.

Entdeckt hat Moorats die Sicherheitslücken per Reverse Engineering. Ursprünglich wollte er ein Linux-Tool für die Kommunikation mit dem Soundsystem entwickeln. Dabei fand er jedoch nach eigenen Angaben Schwachstellen, die es ihm ermöglichten, die Firmware ohne vorheriges Pairing per Bluetooth zu überschreiben.

Machbar war dies über ein herstellerspezifisches Kommunikationsprotokoll namens CTP (Creative Transport Protocol), das eine Steuerung des Systems per App ermöglicht. Darüber konnte Moorats nach eigenen Angaben Systeminformationen von der Soundbar auslesen und Einstellungen ändern. Aber auch Firmware-Updates werden wohl über CTP abgewickelt.

Nach Angaben des Forschers spielte er die angepasste Firmware mit einem selbst entwickelten Python-Skript ein. Die Übertragung soll aufgrund der langsamen Bluetoothverbindung etwa zehn Minuten gedauert haben. Am Ende war der Vorgang jedoch erfolgreich. Moorats nimmt an, dass sich das in die Soundbar integrierte Mikrofon dadurch beispielsweise für Spionagezwecke missbrauchen lasse.

Doch es gab einen anderen Angriffsvektor, den der Forscher noch interessanter fand. Denn die Soundbar wird normalerweise per USB mit einem PC verbunden. "Was wäre, wenn wir eine eigene Firmware schreiben würden, die den Lautsprecher dazu zwingt, als Tastatur zu fungieren, Tastenanschläge zum Öffnen des Terminals zu senden und beliebige Befehle auszuführen?", fragte sich Moorats.

In der Praxis stellte sich das auch als gar nicht so kompliziert heraus. Das Soundsystem wurde am PC bereits als Human Interface Device (HID) registriert, um etwa die Lautstärke zu regeln und abgespielte Medien zu pausieren. Der Forscher musste daher nur ein paar kleine Änderungen an der Firmware vornehmen, um beliebige Tastatureingaben zu übermitteln.

Am Ende nutzte Moorats seine Erkenntnisse, um über die Creative-Soundbar auf seinem PC den Befehl "echo pwned" abzusetzen. Er betonte aber, dass auch das Starten einer Powershell sowie die Ausführung bösartiger Befehle möglich gewesen wäre. Gefährlich sei der Angriffsvektor auch deshalb, weil die Bluetooth-Funktion bei der untersuchten Soundbar sogar im Ruhemodus