평점 높은 스피커, 무선 해킹으로 연결 기기 감염 가능

Source: Ars Technica

펌웨어를 교체 이미지로 바꿔 스피커 LED 화면에 “patched”라는 단어만 표시하도록 만든 뒤, 연구자는 해커가 또 무엇을 할 수 있을지 궁금해졌다. 그래서 그는 Katana V2X를 구동하던 오픈 소스 운영체제인 FreeRTOS에 주목했다. FreeRTOS에는 스피커를 인간 인터페이스 장치(HID)로 동작하게 하는 기능들이 포함돼 있었는데, HID는 키보드, 마우스, 웹캠 등을 포함하는 분류다. 스피커는 볼륨 조절이나 재생·일시정지 같은 제한된 HID만 구현했을 뿐이었다.

연구자는 스피커의 USB 디스크립터 세트를 변경할 수 있다는 사실을 발견했다. USB 디스크립터는 USB 또는 블루투스로 연결된 주변기기의 기능을 장치에 알려주는 보고서와 같은 역할을 한다. 그는 기존 디스크립터 세트에 스피커가 키보드라는 정보를 보고하는 두 번째 디스크립터를 추가할 수 있었다. 그리고 펌웨어에 이미 포함돼 있던 코드를 이용해 키 입력을 전송하는 과정을 간소화했다.

이 모든 것이 Moorats에게 아이디어를 주었다: “내 장치를 이용해 스피커에 명령을 보내고, 스피커가 HID를 통해 연결된 PC에 전달하도록 하면 어떨까?” 몇 차례 시도와 오류를 거친 끝에 그는 가능함을 확인했다. 수요일에 공개된 블로그 post에서 그는 이렇게 적었다:

모든 과정을 연결하면, 나는 완전히 원격으로, 무선으로, 페어링되지 않은 스피커에 커스텀 펌웨어를 업로드할 수 있었다. 이 펌웨어는 재부팅하고, 커스텀 펌웨어를 플래시한 뒤, 재부팅 후 echo pwned 명령을 입력하고 실행한다.

Credit:
Rasmus Moorats

Credit:

Rasmus Moorats

실제 공격 시나리오에서는 powershell.exe를 여는 키 입력을 실행하고, 실제 악성 단일 명령어를 붙여넣을 것이다. 하지만 개념 증명으로는 이 정도면 충분했다. 실제 공격자는 정상 모드와 복구 모드 모두에서 펌웨어 업데이트 루틴을 비활성화시켜, 악성 펌웨어를 장치에서 삭제하거나 향후 패치하는 것을 사실상 불가능하게 만들 가능성이 크다.

게다가 스피커는 절전 모드에서도 블루투스가 항상 켜져 있어, 이를 끄는 명확한 방법이 없다.

스피커와 USB‑연결 장치가 상호 작용하려면 먼저 챌린지‑응답 인증 절차를 성공적으로 마쳐야 한다. 이 핸드셰이크는 소프트웨어가 부팅될 때마다 자동으로 수행되므로 해커에게는 보통 큰 문제가 되지 않는다. 다만 Katana V2X 앱이 연결된 장치에서 열려 있지 않은 경우와 같이 특정 상황에서는 반드시 필요하다.