Creative Sound Blaster Katana V2X’te Uzaktan Hacking Zafiyeti Keşfedildi
Geçtiğimiz günlerde Creative Sound Blaster Katana V2X hoparlörlerin yazılımlarının tersine mühendisliği sırasında, cihazın yalnızca ~15 metrelik menzil içindeki herhangi bir saldırgan tarafından fiziksel temasa veya eşleşmeye gerek kalmadan gizli bir dinleme aracına veya ‘Rubber Ducky’e dönüştürülmesine olanak tanıyan ciddi güvenlik açıkları tespit edildi.
CTP Protokolü ve Firmware Güvenlik Açıkları
Katana V2X, USB bağlantılı bir PC ses çubuğudur ve Creative’in özel CTP (Creative Transport Protocol) adı verilen bir protokol kullanarak ayarlarının yapılmasını sağlayan bir uygulaması bulunur. Bu protokol, çeşitli komutlar göndermek ve yanıtları okumak için kullanılır. USB üzerinden CTP ile işlem yapmak için anahtarı Creative uygulamasının ikili dosyalarından türetilebilen bir meydan okuma-yanıt kimlik doğrulaması gereklidir. Ancak firmware güncellemeleri de CTP üzerinden yapılır ve USB trafiği izlenerek firmware imajları elde edilebilir.
Firmware Analizi ve Zafiyetler
Proprietary ancak basit bir Zip dosyası gibi olan firmware konteyneri üç ana bölümden oluşur: bootloader ve kurtarma modu içeren ‘FBOOT’, cihazın ana firmware’i olan ‘FMAIN’ ve firmware konteynerinin SHA-256 sağlama toplamı olan ‘CHK2’. ‘FBOOT’ ve ‘FMAIN’ FreeRTOS tabanlıdır. Şaşırtıcı bir şekilde, CTP kimlik doğrulamasına rağmen, ‘CHK2’ sağlama toplamı dışında firmware’leri flashlamak için başka bir koruma (örneğin imza kontrolleri) bulunmamaktadır. Bu durum, ‘CHK2’ düzeltildiği sürece yamalı firmware’lerin cihaz tarafından kolayca kabul edilmesini sağlar. Örneğin, açılışta görüntülenen ‘WELCOME’ metni ‘PATCHED’ olarak değiştirilip başarılı bir şekilde yüklenebilmiştir. Bu, fiziksel erişim gerektirmesi durumunda dahi bir güvenlik riski oluştururken, durum Bluetooth ile daha da kötüleşmektedir.
Bluetooth Üzerinden Kimlik Doğrulamasız Firmware Güncellemesi
Katana V2X’in Bluetooth özelliğine sahip olması ve Creative’in mobil uygulaması aracılığıyla hoparlör ayarlarının telefon üzerinden kontrol edilebilmesi, yeni bir zafiyet kapısı açar. BLE (Bluetooth Low Energy) üzerinden cihazlara çoğu zaman eşleşmeye gerek kalmadan bağlanılabilir ve özelliklere yazılıp okunabilir. Yapılan araştırmalar, dahili CTP işleyicisinin hem USB hem de Bluetooth’a köprülenmiş olduğunu göstermiştir. Bu keşif, kimlik doğrulama gerektiren CTP komutlarının (örneğin firmware sürümünü okuma) Bluetooth üzerinden herhangi bir eşleşme veya kimlik doğrulaması olmadan gönderilebildiğini ortaya koymuştur. Bu durum, saldırganların herhangi bir Katana V2X’e Bluetooth üzerinden bağlanarak bilgi okuyabileceği, ayarları değiştirebileceği ve en önemlisi firmware güncellemeleri yapabileceği anlamına gelmektedir.
Kablosuz Saldırı Senaryosu: Hoparlörünüz Bir USB Rubber Ducky’ye Dönüşüyor
Firmware yükseltmelerinin de CTP üzerinden yapılması ve özel firmware’lerin oluşturulabilmesi gerçeği birleştiğinde, bir saldırganın Bluetooth üzerinden kimlik doğrulaması veya eşleşme olmaksızın özel bir firmware yükleyip yükleyemeyeceği merak konusu olmuştur. Yapılan testlerde, yaklaşık 10 dakika süren bir işlemle Bluetooth üzerinden değiştirilmiş firmware’in başarılı bir şekilde yüklendiği ve ‘PATCHED’ karşılama mesajının görüntülendiği tespit edilmiştir. Bu, iki temel saldırı senaryosunu ortaya koymaktadır:
- Gizli Dinleme Cihazı: Hoparlörün mikrofonu kullanılarak, saldırgan özel bir firmware yükleyerek cihazı gizli bir dinleme cihazına dönüştürebilir ve konuşmaları Bluetooth üzerinden bir alıcıya iletebilir.
- Uzaktan USB Rubber Ducky: Standart bir kurulumda PC’ye USB üzerinden bağlı olan hoparlör, güvenilir bir USB cihazı olarak kabul edilir. Özel firmware ile hoparlörün klavye gibi davranması sağlanarak terminal açma ve rastgele komutlar yürütme gibi tuş vuruşları uzaktan gönderilebilir. Bu, hiçbir fiziksel temas olmadan uzaktan bir USB Rubber Ducky saldırısı anlamına gelir.
Çekirdek Seviyesinde Keystroke Enjeksiyonu ve Proof of Concept
Başlangıçta bu görev zor görünse de, firmware üzerinde yapılan detaylı incelemeler, cihazın zaten bir HID (insan arayüzü cihazı) olarak (tüketici kontrol cihazı olarak) ayarlandığını göstermiştir. Firmware’deki USB tanımlayıcı seti, bir klavye HID cihazını da içerecek şekilde kolayca değiştirilebilir. Ayrıca, HID verilerini göndermek için halihazırda kullanılabilir bir rutin bulunmaktadır. En büyük zorluk, kodu yerleştirecek yeterli boş alan bulmak ve normal çalışma akışını bozmamaktı. FreeRTOS tabanlı bu sistemde, mevcut bir görevi (diagnostik görevi gibi) üzerine yazarak, sistemin açılışta kodu otomatik olarak başlatması sağlanmıştır. Hazırlanan payload, cihaz açıldıktan ~20 saniye sonra ‘echo pwned’ komutunu yazıp çalıştırmaktadır. USB raporu için 83 bayt ve keystroke enjektörü için 102 bayt elle yazılmış ARM/Thumb assembly kodu ile yamalar oldukça minimaldir.
Sonuçlar ve Creative’in Tutumu
Tüm bu adımlar bir araya getirildiğinde, hoparlörün daha önce eşleşme yapılmamış olsa bile, tamamen uzaktan, kablosuz olarak özel bir firmware yüklenerek yeniden başlatıldıktan sonra ‘echo pwned’ komutunu yazıp yürüttüğü başarılı bir şekilde gösterilmiştir. Gerçek bir saldırıda, saldırgan PowerShell gibi bir aracı açıp kötü amaçlı tek satırlık bir kod yapıştırabilir ve hatta kötü niyetli firmware’i silmeyi veya yamalamayı imkansız hale getirebilir. Bluetooth’un uyku modunda bile sürekli açık olması ve devre dışı bırakılamaması durumu daha da kötüleştirmektedir.
Creative ile iletişim kurma süreci oldukça zorlu geçmiştir. Şirketin herhangi bir güvenlik iletişim adresi bulunmamakta, yalnızca destek formu üzerinden ulaşılabilmektedir. SingCERT aracılığıyla iki ay süren çabalara rağmen, Creative bu durumu bir güvenlik açığı olarak görmediğini ve bir siber güvenlik riski oluşturmadığını belirten bir yanıt vermiştir. Bu nedenle, Creative tarafından herhangi bir yama sunulmamaktadır ve en son firmware sürümü de savunmasızdır.
Kısmi Çözüm: Topluluk Yaması
Bu duruma çözüm olarak, CTP-over-Bluetooth’u engelleyen bir firmware yaması geliştirilmiştir. Bu yama, Creative mobil uygulamasının çalışmasını muhtemelen bozsa da, cihazların güvenli bir şekilde kullanılmasını sağlar. İlgilenen kullanıcılar, Creative sunucularından resmi firmware’i indirip bellekte yamalayan ve USB bağlantılı Katana V2X’e yükleyen bir araca buradan erişebilir: https://git.dog/xx/v2x-patcher.
Zafiyetin Zaman Çizelgesi
- 01/04/2026 – Tedarikçiyle ilk iletişim denemesi (destek formu)
- 07/04/2026 – Tedarikçiyle ikinci iletişim denemesi (destek formu)
- 09/04/2026 – Zafiyetlerin SingCERT’e bildirimi
- 16/04/2026 – SingCERT’ten ek bilgi talebi ve yanıt
- 20/04/2026 – SingCERT’ten ek bilgi talebi ve yanıt, raporun onaylanması ve tedarikçiyle temasa geçildiğinin bildirimi
- 08/05/2026 – SingCERT’ten tedarikçiye ulaşılamadığı ve takibin sürdürülmesi isteği
- 25/05/2026 – SingCERT’ten tedarikçinin vakadan haberdar olduğu bildirimi
- 03/06/2026 – SingCERT’ten tedarikçinin ‘bunu bir güvenlik açığı olarak görmediği’ yanıtı
- 03/06/2026 – Makalenin yayınlanması

