Исследователь описал атаку на Creative Sound Blaster Katana V2X через Bluetooth

Специалист по безопасности Расмус Мурац сообщил о связке проблем в звуковой панели Creative Sound Blaster Katana V2X: через Bluetooth Low Energy можно без сопряжения отправлять служебные команды и загружать изменённую прошивку. В демонстрации устройство, подключённое к ПК по USB, превращается в HID-клавиатуру и вводит команды после перезагрузки. По словам исследователя, Creative не считает это киберриском; официального исправления нет.

Специалист по безопасности Расмус Мурац опубликовал исследование Pwnd Blaster о Creative Sound Blaster Katana V2X. Он утверждает, что связка проблем в реализации CTP, служебного протокола Creative для управления устройством, и механизме обновления прошивки позволяет атакующему в радиусе около 15 м подключиться к звуковой панели по Bluetooth Low Energy без сопряжения, загрузить модифицированную прошивку и затем использовать устройство как HID-клавиатуру на ПК, к которому оно подключено по USB.

По описанию Мураца, команды CTP, которые при работе по USB требуют challenge-response-аутентификации, через BLE доступны без такой проверки. Вторая проблема — отсутствие криптографической подписи прошивки: устройство проверяет только SHA-256-контрольную сумму, которую можно пересчитать после изменения образа.

В демонстрационном примере исследователь изменил USB-дескриптор Katana V2X. Устройство, которое уже представляется системе как HID Consumer Control для мультимедийных клавиш, добавляет роль клавиатуры и после перезагрузки вводит тестовую команду. Мурац отмечает, что в реальной атаке тот же механизм может использоваться для запуска PowerShell или другой оболочки; также Bluetooth на устройстве, по его наблюдениям, остаётся включённым даже в спящем режиме.

Исследователь сообщил, что пытался связаться с Creative через службу поддержки, а затем передал информацию через сингапурский национальный CERT SingCERT. Согласно опубликованной им хронологии, 3 июня 2026 года SingCERT передал ответ производителя: Creative не считает проблему уязвимостью, поскольку, по оценке компании, она не создаёт риска кибербезопасности. Официального исправления, как утверждает Мурац, нет; по его словам, актуальная прошивка остаётся уязвимой. Тесты проводились на версии 1.3.230619.1820.

В качестве временной меры Мурац выпустил v2x-patcher — сторонний инструмент, который загружает официальную прошивку Creative, изменяет её в памяти и отключает CTP-over-Bluetooth. Он предупреждает, что такая модификация, вероятно, нарушит работу мобильного приложения Creative; это не официальный патч, и применять его стоит с учётом риска для устройства.