Un altavoz Bluetooth puede infectar una computadora aunque nadie lo toque: nuevo método de ataque que no requiere emparejamiento ni autenticación.
Un altavoz de Creative que se hace pasar por teclado y puede hackear tu PC
Un altavoz conectado al ordenador por USB se convirtió inesperadamente en un puente para el acceso remoto. El especialista en seguridad Rasmus Moorats descubrió que la popular sistema de sonido Sound Blaster Katana V2X permite a un atacante cargar su propio firmware por Bluetooth, y luego ejecutar comandos en el PC conectado sin tocar el dispositivo.
El problema se descubrió por casualidad. Tras comprar la Sound Blaster Katana V2X, Moorats decidió investigar cómo el altavoz intercambiaba datos con el ordenador. Durante el análisis encontró el protocolo propietario Creative Transport Protocol (CTP), que permite controlar la iluminación, el ecualizador y otras funciones del dispositivo.
Se descubrió que el dispositivo Bluetooth puede conectarse al altavoz sin verificación de autenticidad e incluso sin un emparejamiento previo. Además, una de las órdenes del protocolo permite cargar un firmware nuevo. El fabricante no firmó el firmware con una firma digital ni añadió otros mecanismos de verificación, por lo que el altavoz aceptaba el código modificado sin objeciones.
Para empezar, el especialista cargó una versión inofensiva del firmware que simplemente mostraba la palabra «patched» en la pantalla del dispositivo. Luego llamó la atención el sistema operativo FreeRTOS que funciona dentro del altavoz. En FreeRTOS se encontró un conjunto de funciones que permite al dispositivo actuar como HID, que incluye teclados, ratones y otros periféricos.
Texto mostrado en la pantalla del altavoz (blog.nns.ee)
Por defecto las capacidades HID se limitaban a controlar la reproducción y el volumen. Sin embargo, el especialista modificó el descriptor USB del dispositivo, añadiendo funciones de teclado. Tras eso, el ordenador empezó a reconocer el altavoz como un dispositivo de entrada adicional y el altavoz pudo enviar pulsaciones de teclas.
El siguiente paso fue lógico. Moorats hizo que el dispositivo Bluetooth enviara órdenes al altavoz, y que el altavoz usara las funciones de teclado para enviar comandos al ordenador. Como resultado, el especialista actualizó el firmware de forma remota por Bluetooth, reinició el dispositivo y ejecutó en el ordenador conectado el comando «echo pwned».
En la demostración se usó un comando inofensivo, pero en un ataque real un atacante podría abrir PowerShell y ejecutar código malicioso. Además, el firmware modificado puede desactivar el mecanismo de futuras actualizaciones, lo que dificultaría eliminar el software malicioso.
La situación empeora porque el Bluetooth permanece activo incluso en modo de suspensión del altavoz, y no existe un método estándar para desactivar por completo la interfaz inalámbrica.
Para que el altavoz y el ordenador conectado intercambien datos existe una verificación de autenticidad. Sin embargo, la protección resultó ser débil. La respuesta necesaria a la solicitud se puede extraer del programa incluido con el dispositivo. Cuando el dispositivo se conecta por Bluetooth, esa verificación simplemente no existe.
El especialista informó del hallazgo a Creative Technology, pero no obtuvo respuesta. Después de la intervención del centro nacional de respuesta CERT Singapore, el fabricante finalmente reaccionó. La compañía declaró que no considera el comportamiento descrito una vulnerabilidad.
El ataque requiere que el atacante esté dentro del alcance del Bluetooth, por lo que no se puede llevar a cabo a través de Internet. Para un ataque exitoso, el atacante debe estar cerca: en el piso de al lado, en la oficina contigua o en la misma sala. No obstante, el hallazgo muestra que un altavoz Bluetooth común puede convertirse en una herramienta inesperada para comprometer un ordenador y plantea la pregunta de cuántos otros dispositivos inalámbricos tienen capacidades ocultas similares.