セキュリティ研究者のRasmus Moorats氏はCreativeのサウンドシステムであるKatana V2Xの解析を通じ、攻撃者が約15m圏内からBluetooth経由で同機器に不正なファームウェアを書き込める可能性を示しました。Katana V2XのUSB接続サウンドバーは悪用されると、スピーカーが盗聴装置やキーボード入力装置のように振る舞う恐れがあるとのことです。
Pwnd Blaster: Hacking your PC using your speaker without ever touching it | nns.ee
https://blog.nns.ee/2026/06/03/katana-badusb/
Moorats氏は当初Linux向けにスピーカーと通信するツールを作る目的で、「CTP」と呼ばれるCreative独自の通信プロトコルを調べていたとのこと。CTPはスピーカー設定の変更やファームウェア更新にも使われており、USB経由ではチャレンジ/レスポンス認証が必要とされていました。
また、ファームウェアのアップデートもCTP経由で行われており、Moorats氏はUSB通信を傍受してキャプチャしたデータからファームウェアのイメージを抽出することに成功しています。
ファームウェアを分析すると、コンテナにはFBOOT、FMAIN、CHK2という重要な要素が含まれていました。FBOOTは復旧モードを含み、FMAINは通常起動時のメインファームウェアで、いずれも大きく変更されたFreeRTOSを基にしていました。
しかし、ファームウェア更新時の保護がCHK2によるSHA-256チェックサムにとどまっていたとのこと。そこで、Moorats氏は起動時に表示される「WELCOME」という文字列を「PATCHED」に置き換えた改変ファームウェアを作成したところ、CHK2を修正すれば機器が受け入れることを確認できました。
さらにMoorats氏は内部のCTP処理がUSBだけでなく、Bluetoothにも橋渡しされていることに気づきました。BluetoothではペアリングしなくてもGATT通信に接続して読み書きできる場合があり、Katana V2Xでも認証なしにCTPコマンドを送れてしまいます。
Moorats氏はBluetooth経由でファームウェア更新を行うPythonスクリプトを作成し、改変ファームウェアの書き込みに成功。BLEは低速のため完了まで約10分かかったものの、再起動後には「PATCHED」の表示が出たとされています。この挙動により、攻撃者はマイクを備えたスピーカーを会話の監視装置として悪用できる可能性があるとMoorats氏は指摘しました。
さらにUSB接続されたPCから見ればスピーカーは信頼済みのUSB機器であるため、HIDキーボードとして動作させる攻撃も検証。Moorats氏はUSBデバイス記述子にキーボードとしての要素を追加し、既存のHID送信処理を利用して「echo pwned」と入力して実行する概念実証に成功しました。
Moorats氏によると、スピーカーの起動後約20秒待ってからキー入力を送り、その後は通常機能を維持するようにして攻撃を行ったとのこと。その内容はUSBレポート用の83バイト、手書きのARM/Thumbアセンブリの102バイト、さらに送信する各キー入力あたり2バイトという小規模なものだったそうです。
Moorats氏は発見した脆弱(ぜいじゃく)性についてCreativeへの連絡を試みましたが、公開されたセキュリティ窓口が見つからず、最終的にシンガポールのセキュリティ当局であるSingCERTを介して報告しました。しかし、Creativeから約2カ月後に得られた回答は「報告内容はサイバーセキュリティリスクを示すものではない」というもので、記事作成時点ではCreativeからの修正パッチは提供されていないとのこと。
Moorats氏は暫定策として、Bluetooth経由のCTPを遮断するファームウェアパッチを作成していますが、このパッチを適用することでCreativeのモバイルアプリが使えなくなる可能性があるほか、ソースコードがないため適切な認証を追加する形での修正は難しいとしています。
この記事のタイトルとURLをコピーする
ソース元はコチラ
この記事は役に立ちましたか?
もし参考になりましたら、下記のボタンで教えてください。