İşletim sistemlerinin geliştiricileri, cihazlarının uzaktan gelen komutları kabul etmesini önlemek için pek çok güvenlik önlemi alıyor. Bu önlemler, kötü amaçlı saldırıları engellemek üzere tasarlanmış olsa da, hackerların bu aşamaları geçmesi genellikle büyük çaba gerektirir. Peki ya uzaktan kod çalıştırmak, hedef alınan cihaza bağlı bir hoparlörün Bluetooth menzili içinde olmak kadar basitse?
Singapurlu Creative Technologies tarafından satılan ve popüler olan bir Sound Blaster Katana V2X hoparlör modeliyle bu mümkün görünüyor. Bu hoparlör, ses kalitesi ve performansı ile birçok övgü almış durumda.
PC'leri Ele Geçiren Bir Vekil
Araştırmacı Rasmus Moorats, bilgisayarlara, Mac'lere ve Linux cihazlarına USB veya Bluetooth üzerinden bağlanan Katana V2X ses sistemini satın aldıktan sonra tesadüfen bu güvenlik açığını keşfetti. Moorats, hoparlörüyle iletişim kurabilen bir Linux aracı oluşturup oluşturamayacağını merak ediyordu. Creative Transport Protocol (CTP) adını verdiği, Creative'in özel bir mekanizması aracılığıyla bunu yapabildiğini fark etti.
CTP, Bluetooth veya USB üzerinden bağlanan cihazların, LED renklerini değiştirme ve ekolayzır ayarları gibi komutları hoparlöre göndermesine olanak tanıyor. CTP ayrıca bağlı cihazların hoparlörden yanıt almasını da sağlıyor.
Moorats'ın şaşkınlığına göre, Bluetooth cihazı, USB üzerinden bir bilgisayara bağlı olan hoparlöre herhangi bir kimlik doğrulama olmadan bağlanabiliyordu. Dahası, Bluetooth cihazının önceden eşleştirilmesine de gerek yoktu. Daha da şaşırtıcı olanı, "cihaza yeni firmware yükle" olarak etiketlenen CTP komutlarından biri, resmi firmware'i kendi özel firmware'i ile değiştirmesine olanak tanıyordu. Firmware yeniden yükleme işlemi, gayri resmi kodun yüklenmesini önlemek için kod imzalama veya benzeri herhangi bir önlem kullanmıyordu.
Firmware'i, hoparlörün LED ekranında sadece "patched" kelimesini gösteren basit bir değiştirilmiş imajla başarıyla değiştirdikten sonra araştırmacı, bir hackerın daha neler yapabileceğini merak etmeye başladı. Bunun üzerine Katana V2X'i çalıştıran açık kaynaklı işletim sistemi FreeRTOS'a odaklandı. FreeRTOS, hoparlörün klavyeler, fareler ve web kameraları gibi insan arayüz cihazı (HID) olarak hareket etmesini sağlayan fonksiyonları içeriyordu. Hoparlör, ses seviyesini değiştirme ve sesi çalma/durdurma gibi sınırlı HID işlevlerini uyguluyordu.
Araştırmacı, hoparlörün USB veya Bluetooth bağlantılı bir çevrebirimin yetenekleri hakkında cihazları bilgilendiren bir rapor olan USB tanımlayıcı kümesini (USB descriptor set) değiştirebildiğini keşfetti. Mevcut tanımlayıcı kümeyi, hoparlörün bir klavye olarak raporlandığı ikinci bir kümeyle genişletebildi. Ardından, firmware'de zaten bulunan kodu kullanarak tuş basımlarını gönderme sürecini kolaylaştırdı.
Tüm bunlar Moorats'a bir fikir verdi: Cihazını kullanarak, HID'yi kullanarak komutları bağlı bilgisayara ileten hoparlöre komutlar gönderebilir miydi? Deneme yanılma sonucunda bunu yapabildiğini buldu. Çarşamba günü yayınlanan bir blog yazısında şunları belirtti:
Hoparlör ve USB'ye bağlı cihazın etkileşim kurabilmesi için önce başarılı bir meydan-okuma-yanıt kimlik doğrulama prosedürünü tamamlaması gerekiyor. Cihazlar bu el sıkışmayı her yazılım açılışında otomatik olarak gerçekleştirdiği için, bu genellikle hacker için bir sorun teşkil etmiyor. Ancak bazı durumlarda, örneğin bağlı cihazda Katana V2X uygulaması açık değilse, bu bir gereklilik haline geliyor.
Bununla birlikte, kimlik doğrulama, aşılması kolay bir engeldir, çünkü doğru yanıt hoparlörle birlikte gelen uygulama ikili dosyasından elde edilebilir. Şaşırtıcı bir şekilde, Bluetooth bağlantılı cihazlar için böyle bir meydan-okuma ve yanıt gerekmiyor.
Moorats, bulgularını Creative Technologies'e bildirdi ancak hiçbir zaman yanıt alamadı. Daha sonra CERT Singapore'ı devreye soktu. Sonunda, kuruluş şirketten bir yanıt aldı. Buna göre şirket mühendisleri bu davranışı bir güvenlik açığı olarak görmüyordu. Araştırmacı, saldırıyı bağlı bir Windows makinesi üzerinde test etti.
Tekrarlamakta fayda var ki, açıklanan saldırılar yalnızca saldırgan Bluetooth menzilinde olduğunda gerçekleştirilebilir. Bu, saldırıları komşular, ev arkadaşları veya hoparlörün bitişiğindeki ofislerdeki kişilerle sınırlar.
Yine de, bir Bluetooth cihazını bir bilgisayar ele geçirme ve uzaktan dinleme cihazına dönüştürme yeteneği, pek de iç açıcı hisler uyandırmıyor. Bu durum aynı zamanda şu soruyu da akla getiriyor: Başka hangi Bluetooth cihazları kullanıcıları aynı saldırılara açık bırakıyor?
