一台约 280 美元、评价不错的 Creative Sound Blaster Katana V2X 音箱,正常用途是接电脑、放声音、调灯效。
研究人员 Rasmus Moorats 发现,它还可能被近距离攻击者通过蓝牙刷入自定义固件。随后,这台音箱可以在 USB 连接的 Windows 电脑上,把自己伪装成键盘,输入命令。
这件事反常的地方不在“音箱被黑”四个字。
真正的问题是:一个看起来很普通的蓝牙/USB 外设,能不能借固件更新和 HID 权限设计缺口,绕过主机安全边界,变成攻击代理。
Creative 经 CERT Singapore 介入后回应称,公司工程师不认为该行为是漏洞。这个立场很重要,也要说清楚:厂商不认定为漏洞,不代表风险已经消失。
攻击链短得让人不舒服
Moorats 最初不是冲着攻击去的。
他购买 Katana V2X 后,是想为 Linux 开发一个能和音箱通信的工具,于是逆向了 Creative 的专有 CTP 协议。这个协议可通过蓝牙或 USB 调整 LED、均衡器等设置,也能接收音箱返回的信息。
问题出在两处。
蓝牙设备不需要先配对,也不需要认证,就能和音箱通信。CTP 里又有上传新固件的命令,而 Katana V2X 的固件刷新缺少代码签名约束,无法阻止非官方固件被写入。
攻击链可以压成四步:
| 环节 | 发生的事 | 风险含义 |
|---|---|---|
| 蓝牙接入 | 未配对设备可与音箱通信 | 攻击入口不依赖点击链接或插入设备 |
| 固件上传 | 可写入自定义固件 | 外设自身行为可被改写 |
| HID 伪装 | 音箱声明自己也是键盘 | 主机默认接受“键盘输入” |
| 命令输入 | 向 Windows 主机发送按键 | 可打开 PowerShell 等执行命令 |
Moorats 的演示只是让电脑执行 echo pwned。这不能被说成已经出现大规模恶意攻击。
但路径本身已经说明问题:如果同样的输入被替换成打开 PowerShell、粘贴命令、触发下载或执行脚本,风险就不再只是演示效果。
这也是我更在意的地方。攻击没有跨过互联网,却跨过了很多人平时不会防的那条线:外设到主机的信任线。
严重性来自 HID 信任链,而不是“远程黑进电脑”
HID 是键盘、鼠标等人机交互设备常用类别。操作系统通常会信任键盘输入,因为键盘必须即插即用。
麻烦在于,一旦一台已经通过 USB 连接的音箱把自己改造成“键盘”,主机很难判断输入来自真人,还是来自被改写的外设。
这和 BadUSB 的思路相近。过去的典型场景是 U 盘或 USB 设备伪装键盘,向电脑注入命令。Katana V2X 的差别在于入口换成了空中路径:攻击者不必碰到音箱,只要处在蓝牙范围内。
限制也必须摆出来。
这不是互联网远程攻击。攻击者需要在 Katana V2X 的蓝牙范围内。材料也只指向 Sound Blaster Katana V2X,不能扩大到所有 Katana 系列,更不能扩大到所有 Creative 音箱。
| 维度 | BadUSB 常见场景 | Katana V2X 这次的问题 |
|---|---|---|
| 接触方式 | 通常需要插入或接触 USB 设备 | 可在蓝牙范围内尝试写入固件 |
| 主机信任点 | USB 设备伪装键盘 | 音箱通过 USB HID 伪装键盘 |
| 现实威胁 | 捡到 U 盘、恶意外设 | 邻居、同住者、相邻办公室更相关 |
| 夸大边界 | 不是所有 USB 都必然危险 | 不是互联网远程大规模攻陷 |
办公室里,蓝牙范围可能覆盖隔壁房间。家里则更接近邻居、室友、同住者这类威胁模型。
原始材料还提到,音箱即便在睡眠状态下蓝牙仍开启,且没有明显关闭方式。USB 端通信有挑战-响应流程,但相关响应可从配套应用二进制中提取;蓝牙端则没有同等要求。
这不是一个单点失误那么简单。
蓝牙未认证、固件未签名、HID 默认受信,三件事叠在一起,才把一台音箱推到了主机安全边界里面。
对用户和采购,结论不一样
个人用户不必立刻恐慌换机。
更现实的动作是减少不必要的 USB 长连,尤其是在合租、开放办公、展会、宿舍这类蓝牙环境复杂的地方。如果只是把它当普通蓝牙音箱用,风险面和“USB 连着电脑”时不同。
办公用户要更谨慎。会议室、共享工位、相邻办公室,都是更贴近这类攻击的场景。设备如果长期接着办公电脑,又无法方便关闭蓝牙,就不该只按“音箱”来管理。
企业终端安全和硬件采购负责人要看的不是音质,而是四个问题:
| 对象 | 该怎么做 | 判断依据 |
|---|---|---|
| 个人和办公用户 | 避免在陌生或共享环境中长期 USB 连接;能断开就断开 | 攻击者需要近距离蓝牙范围,降低暴露时间有意义 |
| 企业采购负责人 | 对 Katana V2X 采购延后或增加安全评审 | 厂商目前不认定为漏洞,修复节奏不确定 |
| 终端安全团队 | 关注外设突然新增键盘描述符、异常 HID 输入 | 风险点在“音箱变键盘”,不在传统网络入侵 |
| 资产管理团队 | 记录哪些外设支持蓝牙、固件更新、HID | 采购清单里不能只写品牌和型号 |
我不太买账的是,把这件事轻轻放进“正常功能设计”里。
外设当然需要更新固件,也需要方便连接。但能更新,不等于谁都能更新;能当 HID,也不等于可以在被蓝牙改写后继续被主机无条件信任。
后面真正要看的变量很具体。
Creative 是否继续坚持“不是漏洞”;Katana V2X 是否会加入固件签名或蓝牙认证;终端安全产品能否识别音箱突然多出键盘能力这类异常。
如果这些都没有变化,企业侧就只能把控制前移:采购少买、资产少接、终端少信。亡羊补牢不如先把羊圈门关上,这句话放在外设安全上并不过时。