Güvenlik araştırmacısı Rasmus Moorats, Creative Sound Blaster Katana V2X model oyuncu ses sisteminin Bluetooth üzerinden, herhangi bir eşleştirme veya fiziksel temas olmadan, yaklaşık 15 metre mesafeden ele geçirilebildiğini ortaya koydu. Bu durum, cihazın yazılımına kötü niyetli bir kod enjekte edilerek, USB bağlantılı bilgisayarlar üzerinde komut çalıştırılmasına olanak tanıyor.
Moorats, 3 Haziran'da paylaştığı blog yazısında, cihazın Bluetooth bağlantı arayüzündeki kimlik doğrulama eksikliğini ve firmware imzalama sisteminin bulunmamasını kullanarak bu saldırıyı gerçekleştirdiğini belirtti. Saldırganlar, kablosuz olarak ses sistemine özel yazılım yükleyerek, onu bir klavyeye dönüştürebiliyor ve böylece hedef bilgisayara komutlar gönderebiliyor.
Creative ile iletişime geçen araştırmacı, şirketin yaklaşık iki ay sonra verdiği yanıtta bu durumu bir güvenlik riski olarak görmediğini belirtti. Yaklaşık 7.000 TL değerindeki bu ses sisteminin kullanıcıları, henüz resmi bir güncelleme olmadan bu güvenlik açığıyla karşı karşıya.
Katana V2X, Creative'in masaüstü uygulamasıyla özel bir protokol üzerinden iletişim kuruyor. USB üzerinden komut alırken bir kimlik doğrulama süreci gerektiren cihaz, Bluetooth Low Energy üzerinden aynı komutları herhangi bir doğrulama veya eşleştirme istemeden kabul ediyor. Bu da menzil içindeki herhangi bir cihazın ayarları okuyup değiştirebilmesi veya firmware yükleyebilmesi anlamına geliyor. Cihazın firmware'inde kriptografik bir imza bulunmuyor, sadece bir SHA-256 kontrol toplamı mevcut.
Bu zafiyeti kullanarak, Moorats ses sisteminin USB tanımlayıcı setini değiştirerek, cihazın zaten sağladığı sınırlı medya kontrol özelliklerinin yanı sıra bir klavye gibi görünmesini sağladı. Firmware, FreeRTOS'un değiştirilmiş bir sürümünü çalıştırıyor ve Moorats, kullanılmayan bir tanılama görevini, USB alt sisteminin başlatılmasını bekleyen ve her açılışta bir komut yazıp çalıştıran bir görevle değiştirdi. Konsept kanıtı olarak "echo pwned" metnini yazdıran bu rutin, aynı zamanda PowerShell'i açıp kötü niyetli bir komut dizisi yapıştırabilir.
Bu yöntem, 2014 yılında Black Hat konferansında tanıtılan ve USB denetleyicilerinin çoğunun firmware doğrulama kontrolleri olmadan geldiği uyarısında bulunan BadUSB saldırı tekniğini anımsatıyor. Ancak bu saldırılarda genellikle hileli bir cihazın fiziksel olarak takılması gerekiyordu. Moorats, bu adımın ortadan kalktığını ve saldırının, kullanıcının zaten sahip olduğu ve güvendiği bir donanım üzerinden, uzaktan gerçekleştirilebildiğini gösterdi.
Araştırmacının belirttiğine göre, Creative ile iletişime geçmek en zorlayıcı kısım olmuş. Şirkete ulaşmanın tek yolunun destek web formu olduğu ve birkaç denemeden sonra Singapur Ulusal Siber Müdahale Ekibi aracılığıyla durumu bildirmesi gerektiği ifade edildi. Hatta SingCERT'in de şirketle iletişim kurmakta zorlandığı belirtildi.
Creative'in nihai yanıtı ise, bu durumun bir güvenlik riski oluşturmadığı ve bu nedenle bir güvenlik açığı olarak görülmediği yönünde olmuş. Moorats, şirketin işini yaparak, Creative'in resmi firmware'ini indiren, Bluetooth üzerinden CTP'yi yamayan ve USB üzerinden ses sistemini yeniden flaşlayan bir araç yayınladı. Ancak bu işlem, Creative'in mobil uygulamasının çalışmasını engelleyebilir. Araştırmacı, şirketin kaynak koduna sahip olmadan doğru kimlik doğrulamanın eklenmesinin zorluğuna dikkat çekti. Ses sistemindeki Bluetooth, uyku modunda bile aktif kalıyor ve devre dışı bırakılmasının belirgin bir yolu bulunmuyor.
