Güvenlik araştırmacısı Rasmus Moorats, Creative Sound Blaster Katana V2X oyun soundbar’ının Bluetooth üzerinden yaklaşık 15 metre mesafeden, herhangi bir eşleştirme veya fiziksel temas olmadan ele geçirilebildiğini gösterdi. Sorunun temelinde, kimlik doğrulaması istemeyen bir Bluetooth arayüzü ile firmware tarafında imza doğrulamasının bulunmaması yer alıyor.
Cihaz, masaüstü uygulamasıyla üreticiye özgü bir protokol üzerinden haberleşiyor. Moorats’ın Creative Transfer Protocol (CTP) adını verdiği bu yapı USB bağlantısında komut kabul etmeden önce challenge-response el sıkışması istiyor. Ancak aynı protokol Bluetooth Low Energy üzerinden kimlik doğrulama veya eşleştirme olmadan çalışıyor. Bu da kapsama alanındaki herhangi bir cihazın ayarları okuyabilmesine, değiştirebilmesine ve firmware gönderebilmesine kapı açıyor.
Araştırmacıya göre firmware dosyasında kriptografik imza yok; yalnızca SHA-256 sağlama toplamı bulunuyor. Görüntü dosyası düzenlendikten sonra bu sağlama toplamı yeniden hesaplanabildiği için özel firmware yüklemek mümkün hale geliyor. Moorats da bunu kullanarak hoparlörün USB tanımlayıcılarını değiştirdi ve cihazın mevcut medya kontrollerine ek olarak kendini klavye olarak tanıtmasını sağladı.
Değiştirilmiş FreeRTOS yapısı üzerinde çalışan bu yöntemle, cihaz her açılışta ana sisteme komut yazabiliyor. Gösterimde “echo pwned” komutu kullanılmış olsa da, aynı yaklaşımın PowerShell üzerinden zararlı komut çalıştırmak için uyarlanabileceği belirtiliyor. Bu senaryo, 2014’te tanıtılan BadUSB yaklaşımını hatırlatıyor; fark ise burada kurbanın zaten güvendiği USB çevre biriminin uzaktan yeniden yazılabilmesi.
Creative’in bildirime yanıt vermesinin yaklaşık iki ay sürdüğü ve şirketin bunu bir siber güvenlik riski olarak değerlendirmediği aktarılıyor. Resmi bir yama yayımlanmış değil. Moorats ise resmi firmware’i indirip Bluetooth üzerinden CTP erişimini kapatan ve cihazı USB üzerinden yeniden yazan bir araç yayımladı. Bunun mobil uygulama işlevlerini bozabileceği, ayrıca hoparlörde Bluetooth’un uyku modunda bile açık kaldığı ifade ediliyor.
