Vulnerabilidades en la Creative Katana V2X permiten hackear un PC a distancia
Un investigador de seguridad ha descubierto una cadena de vulnerabilidades en la barra de sonido Creative Sound Blaster Katana V2X que permitiría a cualquier atacante dentro de un radio aproximado de 15 metros tomar el control total del dispositivo, convertirlo en una herramienta de espionaje oculta o transformarlo en un dispositivo similar a un Rubber Ducky para atacar el ordenador al que está conectado, todo ello sin necesidad de emparejarse con el altavoz ni de acceder físicamente al equipo.
Así lo revela el investigador en un análisis técnico publicado en su blog, donde documenta un proceso de ingeniería inversa del firmware del dispositivo que comenzó como un intento de desarrollar una herramienta de control para Linux y terminó destapando fallos críticos de seguridad. El dispositivo, una barra de sonido USB para PC, se comunica con el software de Creative mediante un protocolo propietario llamado CTP (Creative Transport Protocol). En la conexión por USB, el protocolo exige una autenticación de desafío-respuesta con una clave estática que, según el investigador, puede derivarse de los binarios que acompañan a la aplicación oficial de Creative. Aunque no es trivial, su derivación resulta relativamente sencilla.
Sin embargo, el verdadero problema se encuentra en la conexión Bluetooth de baja energía (BLE) del dispositivo. El altavoz expone características GATT estándar que permiten leer y escribir datos sin necesidad de emparejamiento previo. El investigador descubrió que el manejador interno de CTP está conectado tanto a USB como a Bluetooth. Al analizar el tráfico Bluetooth durante el emparejamiento inicial con la aplicación móvil, observó que las cargas útiles comenzaban con el byte 0x5a, el mismo byte de inicio que todos los comandos CTP. Tras probar a enviar un comando CTP simple, como la lectura de la versión de firmware, directamente por Bluetooth y sin autenticarse, obtuvo una respuesta válida.
La situación se agrava al analizar el sistema de actualización de firmware. Aunque el contenedor incluye un checksum SHA-256, el investigador comprobó que se puede parchear y flashear cualquier firmware modificado siempre que la suma de verificación sea correcta. No hay verificación criptográfica de firma digital ni protección equivalente a la de los cargadores de arranque de dispositivos móviles, que al menos requieren un desbloqueo explícito.
Combinando ambos hallazgos, el investigador desarrolló un script en Python capaz de subir firmware personalizado por Bluetooth, sin emparejamiento y sin autenticación. El proceso tarda unos 10 minutos debido a la lentitud de BLE, pero concluye con éxito, lo que verificó modificando la cadena de bienvenida del dispositivo, que pasó de mostrar "WELCOME" a "PATCHED".
Las implicaciones son significativas. El altavoz incorpora micrófono, lo que permitiría a un atacante subir un firmware que lo convierta en un dispositivo de vigilancia encubierta, capaz de captar conversaciones y reenviarlas por Bluetooth a un receptor cercano. Pero el vector más preocupante es otro: dado que la barra de sonido está conectada al PC como un dispositivo USB de confianza, un firmware malicioso podría hacer que el altavoz emule un teclado y envíe pulsaciones para ejecutar comandos en el equipo, replicando el comportamiento de un BadUSB o Rubber Ducky. De este modo, un atacante podría abrir consolas, instalar malware o exfiltrar datos del ordenador hackeado.
El firmware del Katana V2X se basa en una versión modificada de FreeRTOS, un sistema operativo en tiempo real de código abierto. El análisis pone de relieve un fallo de diseño en la arquitectura de seguridad del producto: se invirtió esfuerzo en proteger las comunicaciones USB mediante autenticación, pero se dejó la puerta abierta a través de Bluetooth, con un firmware que tampoco cuenta con protecciones criptográficas. Es un ejemplo de cómo un eslabón débil en la cadena de confianza puede comprometer todo el sistema.
Por el momento, no se ha informado de la publicación de un parche por parte de Creative. Hasta que la compañía distribuya una actualización que añada verificación de firma al firmware y autenticación obligatoria a las operaciones CTP a través de Bluetooth, los usuarios del Creative Sound Blaster Katana V2X deberían considerar desactivar la función Bluetooth del dispositivo cuando no se utilice, o evitar su uso en entornos donde existan personas no confiables en las proximidades.
