Una soundbar USB può diventare un punto di ingresso verso il PC: il caso Creative Sound Blaster Katana V2X mostra perché firmware non firmati, Bluetooth Low Energy (BLE) sempre attivo e comandi di manutenzione esposti senza autenticazione formano una combinazione rischiosa.
La ricerca pubblicata il 3 giugno 2026 parte da un lavoro di reverse engineering sul firmware della Katana V2X, una barra audio per PC e console con USB Audio, HDMI ARC, Bluetooth 5.0 e microfoni beamforming integrati. Il dato più rilevante ha a che vedere con la fiducia che il computer assegna alla periferica: se un dispositivo USB già collegato può modificare il proprio comportamento e presentarsi anche come tastiera, il confine tra accessorio multimediale e vettore di attacco diventa molto sottile. Per questo, al problema è stato assegnato l’appellativo Pwnd Blaster.
Il problema nasce dal protocollo CTP
Creative usa un protocollo proprietario, indicato dal ricercatore come CTP (suppone che sia acronimo per Creative Transport Protocol), al fine di gestire configurazione DSP, LED, sorgenti audio e aggiornamenti firmware. Su USB il dispositivo richiede un meccanismo challenge-response; la chiave però risulta statica e ricavabile dai binari dell’app Creative. Non è una protezione robusta, ma almeno impedisce l’invio immediato di comandi grezzi.
