CVE-2021-38546

Dispositivos CREATIVE Pebble até 09/08/2021

A vulnerabilidade permite que invasores remotos recuperem sinais de voz a partir de um LED no dispositivo por meio de um telescópio e um sensor eletro-óptico, em um ataque conhecido como “Glowworm”. Isso é possível porque o LED indicador de energia dos alto-falantes está conectado diretamente à linha de alimentação, tornando a intensidade do LED indicador de energia do dispositivo correlacionada ao consumo de energia. O som reproduzido pelos alto-falantes afeta seu consumo de energia, o que também é correlacionado à intensidade da luz dos LEDs. Ao analisar medições de um sensor eletro-óptico direcionado aos LEDs indicadores de energia, é possível recuperar o som reproduzido pelos alto-falantes.

Para dispositivos CREATIVE Pebble fabricados até 09/08/2021, considere desativar o LED indicador de energia para minimizar o risco de exploração até que uma correção esteja disponível. Restrinja o acesso ao dispositivo para impedir que possíveis invasores usem um telescópio e um sensor eletro-óptico para capturar os sinais do LED. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.