Creative Sound Blaster Katana V2X, una soundbar da PC molto diffusa nella fascia gaming, pu� essere trasformata in un dispositivo di spionaggio e in un iniettore di tastiera da un attaccante a circa quindici metri di distanza, senza accoppiamento Bluetooth e senza alcun contatto fisico. A documentarlo � un'analisi pubblicata da un ricercatore indipendente, che ha decompilato il firmware del dispositivo e concatenato due debolezze fino a eseguire comandi sul PC a cui la soundbar � collegata via USB. Il meccanismo ruota attorno a CTP, il protocollo proprietario con cui l'app di Creative dialoga con la soundbar. Su USB il protocollo richiede un'autenticazione challenge-response prima di accettare comandi; lo stesso gestore, per�, � collegato anche all'interfaccia Bluetooth Low Energy, dove quel controllo sparisce. Chiunque pu� connettersi via BLE a una Katana V2X nel raggio d'azione e iniziare a inviare comandi, leggere informazioni e cambiare impostazioni, senza prima abbinarsi con il dispositivo. Il problema diventa serio perch� anche gli aggiornamenti firmware passano da CTP, e il firmware non � protetto da firma digitale. L'unico controllo � un checksum SHA-256 in coda al pacchetto, banale da ricalcolare: il dispositivo accetta qualsiasi immagine modificata purch� il checksum torni. Mettendo insieme le due cose, il ricercatore ha caricato via Bluetooth un firmware artigianale su una soundbar mai accoppiata, in una decina di minuti e senza alcuna autenticazione. Microfono e tastiera La soundbar integra un microfono: un firmware ostile pu� trasformarla in una cimice che ascolta l'ambiente e inoltra l'audio. Pi� insidioso � il secondo scenario: dato che per il PC la Katana V2X � una periferica USB fidata, e si presenta gi� come dispositivo HID per i controlli di volume e riproduzione, il ricercatore ha esteso il descrittore per farla riconoscere anche come tastiera, ottenendo un Rubber Ducky remoto. In altre parole il firmware modificato pu� digitare comandi all'avvio, nel proof of concept un innocuo echo pwned, mentre in un attacco reale aprirebbe PowerShell per incollarvi una riga malevola. L'impianto � minimo: 83 byte per il descrittore USB e 102 byte di assembly ARM/Thumb per l'iniettore di tasti. Un attaccante, osserva il ricercatore, potrebbe anche disabilitare la procedura di aggiornamento, rendendo il firmware ostile permanente e non pi� rimovibile. Aggrava il quadro il fatto che il Bluetooth della soundbar resti attivo anche in standby, senza un modo apparente per spegnerlo. Creative non riconosce il problema La tecnica non � concettualmente nuova: riprogrammare il firmware di una periferica USB per farla agire da tastiera � la stessa idea alla base di BadUSB, la classe di attacchi resa pubblica nel 2014 da SR Labs. La novit� sta nel vettore, perch� non serve sostituire o manomettere fisicamente la periferica: basta un raggio Bluetooth aperto. La parte pi� scoraggiante riguarda la gestione della segnalazione. Creative non dispone di contatti dedicati alla sicurezza; dopo due tentativi andati a vuoto tramite il modulo di assistenza, il ricercatore si � rivolto a SingCERT come intermediario. Il produttore ha impiegato quasi due mesi a rispondere, per poi liquidare la questione: a suo giudizio non si tratta di una vulnerabilit�, perch� "non presenta un rischio di sicurezza informatica". Nessuna patch � prevista e l'ultimo firmware disponibile resta esposto. In assenza di una correzione ufficiale, l'unico rimedio � un tool indipendente rilasciato dallo stesso ricercatore, che scarica il firmware ufficiale, lo modifica per bloccare CTP su Bluetooth e lo riscrive sul dispositivo via USB. Il prezzo � la probabile rottura dell'app mobile di Creative, ma resta al momento l'unico modo per chiudere il canale d'attacco.