← На главную

Колонку Creative Sound Blaster Katana V2X можно превратить в шпионский жучок

03.06.2026 10:53 · hackernews

Исследователь безопасности разобрал прошивку своей колонки Creative Sound Blaster Katana V2X и нашёл несколько критических уязвимостей. Всё началось с желания написать Linux-инструмент для управления устройством — а закончилось обнаружением дыр, позволяющих превратить колонку в шпионский жучок и удалённую клавиатуру (Rubber Ducky) без физического контакта и сопряжения.

Устройство общается по USB через собственный протокол CTP (Creative Transport Protocol). Для отправки команд требуется аутентификация, но ключ статический и лежит в бинарниках приложения Creative. Прошивки тоже льются через CTP. Контейнер прошивки — примитивный Zip-архив с SHA-256 хешем CHK2. Подпись отсутствует — устройство принимает любую модифицированную прошивку, если хеш подходит. Исследователь проверил это, заменив приветствие "WELCOME" на "PATCHED" — колонка исправно его показала.

Дальше — хуже. Bluetooth Low Energy на колонке оказался открытым. Можно соединиться без пароля и сразу отправлять CTP-команды. Никакой аутентификации не требуется. Время прошивки по BLE — около 10 минут, но работает. Колонка сама подключается к ПК по USB, а у неё есть микрофон. Теоретически злоумышленник может залить прошивку, которая превратит колонку в прослушку, передающую звук на Bluetooth.

Но автор пошёл дальше. Он обнаружил, что Katana V2X уже регистрируется как HID-устройство (Consumer Control для громкости). Достаточно дописать второй дескриптор, и она станет клавиатурой. В прошивке уже была готовая функция отправки HID-данных. Оставалось только найти место, куда вставить свой код. Исследователь перезаписал диагностическую задачу FreeRTOS, которая не использовалась в обычной работе. Свежедобавленная задача ждала ~20 секунд после загрузки, печатала команду echo pwned и завершалась. Весь патч — 83 байта на USB-дескриптор, 102 байта ARM/Thumb кода и по 2 байта на каждую клавишу.

Эксплойт работает без сопряжения и даже в спящем режиме — Bluetooth на колонке всегда активен. Отключить его штатными средствами нельзя.

Creative не признала проблему. Компания не имеет публичных security-контактов. После почти двух месяцев переписки через SingCERT вендор ответил, что не считает это уязвимостью — «это не несёт кибербезопасностного риска». Исправлений от Creative нет, прошивка уязвима.

Исследователь выпустил патч v2x-patcher на Rust. Инструмент скачивает официальную прошивку с серверов Creative, вырезает из неё поддержку CTP по Bluetooth и заливает обратно по USB. Мобильное приложение Creative после этого не заработает, но других способов заблокировать атаку пока нет.

Технически прошивка оказалась scatter-loaded: код ядра (FreeRTOS) загружается по адресу 0x10000000, а основное приложение — по 0x40000008. Ghidra отказывалась нормально анализировать бинарники, пока автор не разобрал layout вручную и не написал скрипт для расстановки ~13 000 смещённых строковых ссылок. Для отладки он перехватил CTP-команду 0x54 (была эхо), заменив её на три своих функции read/write/exec — это позволило гонять код по USB без перепрошивки.

Все тесты проводились на прошивке 1.3.230619.1820.

Читать оригинал →