Un investigador de seguridad ha descubierto varias vulnerabilidades críticas en la barra de sonido Creative Sound Blaster Katana V2X que permitirían a un atacante convertir el dispositivo en una herramienta de espionaje silencioso y en un dispositivo de inyección de comandos tipo Rubber Ducky, sin necesidad de emparejamiento ni acceso físico.
El hallazgo comenzó como un proyecto para crear una herramienta Linux que se comunicara con el altavoz mediante el protocolo propietario CTP (Creative Transport Protocol), utilizado por Creative para gestionar ajustes como el DSP, los LEDs o la fuente de audio. Aunque CTP exige autenticación challenge-response por USB con una clave estática derivable de los binarios de la app de Creative, el autor constató que las actualizaciones de firmware usan el mismo protocolo y solo están protegidas por un checksum SHA-256 (CHK2) fácil de parchear.
Tras reimplementar la lógica de flasheo en una herramienta propia llamada v2x-ctl, el investigador logró instalar firmware modificado en su dispositivo. El paso decisivo llegó al analizar la conectividad Bluetooth: descubrió que el manejador interno de CTP está puenteado también a BLE, y que cualquier persona puede enviar comandos CTP al altavoz simplemente conectándose por Bluetooth, sin emparejamiento ni autenticación. La única fricción práctica es la lentitud de BLE, que alarga una actualización de firmware a unos 10 minutos.
Las implicaciones son graves. La Katana V2X incluye micrófono, por lo que un firmware malicioso podría transformarla en un dispositivo de escucha encubierta que reenvíe conversaciones por Bluetooth. Además, dado que el altavoz se conecta por USB al PC como dispositivo de confianza, un firmware alterado podría forzar al dispositivo a comportarse como un teclado HID e inyectar pulsaciones de teclas para abrir terminales o ejecutar comandos, replicando el ataque conocido como Rubber Ducky. El artículo describe el proceso de ingeniería inversa del firmware, basado en una versión modificada de FreeRTOS, y concluye que la ausencia total de verificación de firma en el firmware y la exposición de CTP por Bluetooth convierten al Katana V2X en un vector de ataque potente en un radio aproximado de 15 metros.