主要观点：2024 年 10 月，RET2 参与“小型办公/家庭办公”（SOHO）风味的Pwn2Own竞赛，针对 Sonos Era 300 智能音箱展开研究，最终获得 60,000 美元奖金。
关键信息：

• 选择 Sonos Era 300 主要因其有相关研究背景，且为内存损坏类漏洞，与团队技能经验相符。
• 拆解 Sonos Era 300 发现主要芯片为 Amlogic 芯片，通过定位信号引脚读取 EMMC 闪存，利用 NCC 研究成果突破设备信任链等获取 foothold，进而发现并利用 HLS 协议中的漏洞。
• anacapad服务是 Sonos 智能音箱的主要进程，其媒体处理机制存在漏洞，通过控制 HLS 变体流的解析过程导致内存损坏和栈缓冲区溢出，实现任意代码执行。
  重要细节：
• 购买 2024 年 8 月的 Sonos Era 300 固件加密，确认 NCC 研究成果适用并移植，通过特定漏洞绕过安全启动，获取 root 权限。
• anacapad服务的媒体处理流程，包括帧解析和播放，以及各种音频编解码器的使用。
• HLS 变体流的解析代码存在漏洞，可通过指定特定带宽值导致数组状态异常，进而引发内存损坏和栈溢出。利用此漏洞可控制溢出位置，嵌入 null 字节，触发栈缓冲区溢出，实现信息泄露和代码执行。最终通过发送精心构造的播放列表文件获取所需信息，执行任意命令，包括创建连接回连的 FIFO 等。整个 exploit 代码已在 GitHub 上发布供教育使用。