Уязвимость в игровом саундбаре Creative Sound Blaster Katana V2X позволяет удалённо захватить устройство и атаковать подключённый ПК с расстояния до 15 метров — без сопряжения и физического доступа
Атака связывает воедино две бреши: открытый Bluetooth-интерфейс без проверки подлинности и отсутствие криптографической подписи прошивки, защищённой лишь контрольной суммой SHA-256
Перепрошитый саундбар превращается в скрытую «резиновую уточку» (Rubber Ducky): устройство представляется операционной системе клавиатурой и само набирает команды на хост-ПК
Производитель Creative не признал проблему угрозой безопасности и не выпустил исправление спустя почти два месяца после уведомления через сингапурскую киберкоманду SingCERT
Исследователь самостоятельно выпустил утилиту, отключающую Bluetooth-управление, — но она ломает совместимость с фирменным мобильным приложением и не закрывает проблему до конца
Исследователь информационной безопасности продемонстрировал, что игровой саундбар Creative Sound Blaster Katana V2X можно удалённо захватить через Bluetooth с расстояния около 15 метров — без сопряжения и физического контакта с устройством. Об этом сообщается в блоге, опубликованном 3 июня 2026 года. Используя неаутентифицированный Bluetooth-интерфейс и отсутствие подписи прошивки, злоумышленник может удалённо записать на колонку модифицированную прошивку и превратить подключённое по USB устройство в клавиатуру, которая вводит команды на хост-ПК. Компания Creative, к которой обратились через сингапурскую группу реагирования на киберугрозы, ответила почти через два месяца и заключила, что данное поведение не представляет угрозы безопасности, оставив владельцев саундбара стоимостью около $280 без официального исправления.
Источник изображения - Getty Images
Как устроена цепочка из двух уязвимостей
Katana V2X — это саундбар, который большую часть жизни проводит подключённым к ПК или игровой консоли по USB, но при этом, как и большинство современных колонок, оснащён модулем Bluetooth для управления настройками и подсветкой через фирменное приложение. Взаимодействие с настольным приложением Creative построено на проприетарном протоколе, который исследователь называет Creative Transport Protocol (CTP). Через USB колонка требует подтверждения по схеме «запрос-ответ» прежде, чем примет любую команду, — однако ключ для этой проверки статичен и извлекается прямо из бинарных файлов фирменного приложения.
Куда серьёзнее то, что через Bluetooth Low Energy (BLE) тот же протокол принимает те же команды вообще без аутентификации и сопряжения. Здесь важна особенность работы BLE: чтобы подключиться к устройству и начать читать и записывать данные, сопряжение не требуется — оно лишь устанавливает шифрование, но само соединение можно установить и без него. В результате любое устройство в зоне действия может считывать настройки колонки, менять их или загружать на неё прошивку. Сама прошивка не содержит криптографической подписи — её защищает лишь контрольная сумма SHA-256, которую тривиально пересчитать после редактирования образа.
От прошивки к эмуляции клавиатуры
Для атаки исследователь изменил USB-дескриптор колонки так, чтобы устройство сообщало о себе ещё и как о клавиатуре — в дополнение к ограниченным медиа-контроллерам (громкость, пауза/воспроизведение), которые оно уже предоставляло. К удаче атакующего, в прошивке уже была готовая процедура для отправки HID-данных, так что писать инъекцию нажатий с нуля не пришлось.
Прошивка работает на сильно модифицированной сборке FreeRTOS. Вместо того чтобы выстраивать сложную логику с перехватом потока выполнения, исследователь перезаписал неиспользуемую диагностическую задачу собственной: она ждёт около 20 секунд, пока поднимется USB-подсистема, а затем набирает и выполняет команду при каждой загрузке устройства. Сами правки оказались минимальными — 83 байта для USB-дескриптора, 102 байта рукописного ассемблера ARM/Thumb для инъектора нажатий и по 2 байта на каждую отправляемую клавишу. В представленном образце атаки (Proof of Concept) колонка набирала безобидное «echo pwned», но та же процедура позволяет открыть PowerShell и вставить вредоносную однострочную команду.
Старая идея BadUSB — но уже без необходимости что-либо втыкать
Перепрограммирование доверенного USB-периферийного устройства в клавиатуру — это принцип BadUSB, метод, который представили Карстен Нолль и Якоб Лелль на конференции Black Hat ещё в 2014 году, предупредив, что большинство USB-контроллеров поставляются без проверки подлинности прошивки.
Те атаки требовали, чтобы кто-то физически подключил модифицированное устройство, — но здесь этот этап удалось устранить. Вредоносным периферийным устройством оказывается оборудование, которым жертва уже владеет и которому доверяет, переписанное удалённо с другого конца комнаты. За годы подобные сценарии уже встречались в других потребительских устройствах: например, в подключённой к интернету кровати, прошивка которой раскрывала домашнюю сеть владельца, и в уязвимостях BlueBorne, которые давали злоумышленникам контроль над Bluetooth-устройствами без сопряжения. Стоит добавить, что у колонки есть микрофон — теоретически атакующий мог бы превратить её и в скрытое подслушивающее устройство, передающее звук по Bluetooth.
Производитель отказался признавать проблему
Связаться с Creative оказалось самой сложной частью работы, отметил исследователь: у компании нет контактов для сообщений о проблемах безопасности, а единственный доступный канал — форма поддержки на сайте. После двух безуспешных попыток он сообщил о проблеме через сингапурскую группу реагирования на компьютерные инциденты (SingCERT), которая и сама с трудом добилась ответа.
Окончательный ответ Creative, по словам исследователя, сводился к тому, что в компании «не считают это уязвимостью, поскольку это не представляет риска для кибербезопасности». Как именно был сделан такой вывод, неясно, но стало очевидно, что исправлять проблему производитель не намерен — актуальная официальная прошивка по-прежнему уязвима.
Что делать владельцам
В итоге исследователю пришлось взять работу Creative на себя и выпустить собственную утилиту: она загружает официальную прошивку Creative, удаляет поддержку CTP через Bluetooth и перепрошивает колонку через USB. У инструмента есть защитные механизмы, чтобы случайно не «окирпичить» устройство, а при сбое колонку можно вернуть в режим восстановления (зажав кнопки POWER и SOURCE при подключении питания). Однако такое решение, скорее всего, нарушит работу фирменного мобильного приложения Creative: добавить полноценную аутентификацию без исходного кода компании крайне сложно. Отдельно тревожит то, что Bluetooth у колонки остаётся включённым даже в спящем режиме, без очевидного способа его отключить.
Тем, кто пользуется такой колонкой и не готов прибегать к стороннему патчу, в качестве временной меры стоит рассматривать устройство как потенциально скомпрометированный узел: по возможности изолировать его от чувствительных рабочих ПК и следить за тем, чтобы к хост-системе не подключались незнакомые HID-устройства.
