IT之家 6 月 7 日新闻，，，，，，清静研究员拉斯穆斯?莫拉茨于 6 月 3 日宣布博客文章称，，，，，，他证实立异科技（Creative）的 Sound Blaster Katana V2X 游戏回音壁保存清静误差：攻击者在约 15 米规模内，，，，，，无需装备配对、无需物理接触，，，，，，就能通过蓝牙挟制这款装备。。

该装备的蓝牙接口未设置身份验证，，，，，，且固件未做署名校验。。攻击者可使用这两点远程刷入自界说固件，，，，，，将这款通过 USB 毗连电脑的音响伪装成键盘，，，，，，向主机电脑自动输入指令。。研究员通过新加坡国家网络清静应急团队联系到立异科技后，，，，，，对方耗时近两个月才作出回复，，，，，，并判断该问题不属于清静隐患，，，，，，这款售价约 280 美元（IT之家注：现汇率约合 1902 元人民币）的回音壁至今未获得官方修复补丁。。

Katana V2X 通过一套自研协议与立异科技桌面客户端通讯，，，，，，莫拉茨将其命名为立异传输协议（CTP）。。该音响通过 USB 吸收指令时，，，，，，会先执行质询 - 应答握手验证；；；；；；但在低功耗蓝牙模式下，，，，，，统一套协议会绕过身份验证与配对流程，，，，，，直接吸收指令。。这意味着规模内的恣意装备都能读取、修改音响设置，，，，，，或是推送固件。。别的，，，，，，这款装备的固件仅附带 SHA-256 校验值，，，，，，并无加密署名，，，，，，莫拉茨修改固件镜像后，，，，，，可重新天生校验值绕过检测。。

为实现恶意使用，，，，，，他修改了音响的 USB 形貌符。。该装备原本仅支持基础媒体控制，，，，，，修改后会向电脑伪装成键盘。。装备固件基于改版的实时操作系统 FreeRTOS 运行，，，，，，莫拉茨并未特殊编写按键注入代码，，，，，，而是改写了系统中一项闲置的诊断使命：装备每次开机、USB 模？？？？槠舳，，，，，，就会自动输入并执行指令。。他制作的看法验证程序会输出指令 echo pwned，，，，，，而使用统一套逻辑，，，，，，攻击者还可以调出微软 PowerShell，，，，，，并粘贴执行恶意单行代码。。

将正常 USB 外设改动伪装成键盘，，，，，，正是 BadUSB 攻击的焦点原理。。早在 2014 年，，，，，，卡斯滕?诺尔与雅各布?莱尔就在黑帽清静大会上展示了该攻击手段，，，，，，并忠言称其时绝大大都 USB 控制器出厂时都未开启固件真伪校验。。

古板 BadUSB 攻击需要使用者自动接入改动后的装备，，，，，，而莫拉茨此次突破了这一限制：受害者使用的仍是自己原本信任的硬件，，，，，，攻击者仅需在房间另一端远程改动装备即可。。多年来，，，，，，多款民用数码产品都泛起过类似清静问题，，，，，，好比联网床具的固件误差会泄露用户家庭网络信息，，，，，，尚有蓝波（BlueBorne）误差，，，，，，可让攻击者无需配对就能控制种种蓝牙装备。。

莫拉茨体现，，，，，，整个研究历程中最难的环节是联系装备厂商立异科技 —— 该公司仅提供在线客服表单这一种相同渠道。。他两次自行反馈均无果后，，，，，，转而通过新加坡网络清静应急响应中心（SingCERT）上报问题，，，，，，而该机构同样迟迟没能获得厂商回应。。

据莫拉茨形貌，，，，，，立异科技最终给出的回复是：“我们不以为这属于清静误差，，，，，，该问题不会引发网络清静风险。。”无奈之下，，，，，，莫拉茨只能自行推出工具：该工具可下载官方固件、封堵蓝牙端的立异传输协议误差，，，，，，并通过 USB 重新刷写装备固件。。不过这套修复方案或许率会导致立异科技移动端 APP 无法正常使用，，，，，，同时莫拉茨也提到，，，，，，在没有厂商源代码的条件下，，，，，，很难为蓝牙协议补上正规的身份验证机制。。另外，，，，，，这款音响即便进入休眠模式，，，，，，蓝牙功效也会一连开启，，，，，，且没有可以手动关闭的显着选项。。