Μετά την επιτυχή αντικατάσταση του υλικολογισμικού με μια εικόνα αντικατάστασης που δεν έκανε τίποτα περισσότερο από την εμφάνιση της λέξης “patched” στην οθόνη LED του ηχείου, οι ερευνητές αναρωτήθηκαν τι άλλο θα μπορούσε να κάνει ένας χάκερ. Έτσι έστρεψε την προσοχή του στο FreeRTOS, το λειτουργικό σύστημα ανοιχτού κώδικα που τρέχει το Katana V2X. Περιλαμβάνει ένα σύνολο λειτουργιών HID που επιτρέπουν στα ηχεία να λειτουργούν ως συσκευές ανθρώπινης διεπαφής, μια ιεραρχία που περιλαμβάνει πληκτρολόγια, ποντίκια και κάμερες web. Το ηχείο έχει περιορισμένη εφαρμογή HID που επιτρέπει πράγματα όπως η αλλαγή της έντασης και η αναπαραγωγή ή η παύση του ήχου, αλλά λίγα άλλα.
Ο ερευνητής ανακάλυψε ότι θα μπορούσε να αλλάξει το σετ περιγραφών USB του ηχείου, το οποίο είναι βασικά μια αναφορά που ενημερώνει τις συσκευές για τις δυνατότητες περιφερειακών συνδεδεμένων με USB ή Bluetooth. Μπόρεσε να αυξήσει το υπάρχον σύνολο περιγραφών με ένα δεύτερο που ανέφερε το ηχείο ως πληκτρολόγιο. Στη συνέχεια χρησιμοποίησε κώδικα που περιλαμβανόταν ήδη στο υλικολογισμικό για να απλοποιήσει τη διαδικασία αποστολής πατημάτων πλήκτρων.
Όλα αυτά έδωσαν στον Murats μια ιδέα: Τι θα γινόταν αν μπορούσε να χρησιμοποιήσει τη συσκευή του για να στείλει εντολές σε ένα ηχείο που χρησιμοποιεί το HID για να τις στείλει σε έναν συνδεδεμένο υπολογιστή; Μετά από κάποια δοκιμή και λάθος, διαπίστωσε ότι μπορούσε. σε ένα blog θέση Δημοσιεύθηκε την Τετάρτη, έγραψε:
Ενώνοντας τα πάντα μαζί, μπόρεσα τελείως απομακρυσμένα, μέσω του αέρα, να ανεβάσω ένα προσαρμοσμένο υλικολογισμικό στο ηχείο μου που δεν είχα αντιστοιχίσει, το οποίο θα επανεκκινούσε, θα αναβοσβήνει το προσαρμοσμένο υλικολογισμικό και θα πληκτρολογεί την εντολή echo pwned μετά την επανεκκίνηση.
Σε ένα πραγματικό σενάριο επίθεσης, θα έκανα τα πλήκτρα για να ανοίξω το powershell.exe ή παρόμοιο και να επικολλήσω ένα κακόβουλο one-liner σε αυτό, αλλά ως απόδειξη της ιδέας, αυτό ήταν αρκετό για μένα. Ένας γνήσιος εισβολέας πιθανότατα θα απενεργοποιούσε τη ρουτίνα για την ενημέρωση του υλικολογισμικού τόσο σε κανονική λειτουργία όσο και σε κατάσταση ανάκτησης, καθιστώντας αδύνατη την αφαίρεση του κακόβουλου υλικολογισμικού από τη συσκευή ή την επιδιόρθωση του στο μέλλον.
Γίνεται χειρότερο γιατί το ηχείο Bluetooth είναι πάντα ενεργοποιημένο, ακόμη και σε κατάσταση αναστολής λειτουργίας, χωρίς προφανή τρόπο απενεργοποίησης του.
Για να μπορέσουν να αλληλεπιδράσουν τα ηχεία και οι συνδεδεμένες σε USB συσκευές, πρέπει να ολοκληρώσουν με επιτυχία μια διαδικασία ελέγχου ταυτότητας πρόκλησης και απόκρισης. Δεδομένου ότι οι συσκευές εκτελούν αυτόματα αυτήν τη χειραψία κάθε φορά που εκκινούν λογισμικό, αυτό συνήθως δεν αποτελεί πρόβλημα για έναν χάκερ. Σε ορισμένες περιπτώσεις, όπως όταν η εφαρμογή Katana V2X δεν είναι ανοιχτή στη συνδεδεμένη συσκευή, αυτό αποτελεί απαίτηση.
