IT之家 6 月 7 日新闻，，清静研究员拉斯穆斯?莫拉茨于 6 月 3 日宣布博客文章称，，他证实立异科技（Creative）的 Sound Blaster Katana V2X 游戏回音壁保存清静误差：攻击者在约 15 米规模内，，无需装备配对、无需物理接触，，就能通过蓝牙挟制这款装备。。。。。

该装备的蓝牙接口未设置身份验证，，且固件未做署名校验。。。。。攻击者可使用这两点远程刷入自界说固件，，将这款通过 USB 毗连电脑的音响伪装成键盘，，向主机电脑自动输入指令。。。。。研究员通过新加坡国家网络清静应急团队联系到立异科技后，，对方耗时近两个月才作出回复，，并判断该问题不属于清静隐患，，这款售价约 280 美元（IT之家注：现汇率约合 1902 元人民币）的回音壁至今未获得官方修复补丁。。。。。

Katana V2X 通过一套自研协议与立异科技桌面客户端通讯，，莫拉茨将其命名为立异传输协议（CTP）。。。。。该音响通过 USB 吸收指令时，，会先执行质询 - 应答握手验证；
；；但在低功耗蓝牙模式下，，统一套协议会绕过身份验证与配对流程，，直接吸收指令。。。。。这意味着规模内的恣意装备都能读取、修改音响设置，，或是推送固件。。。。。别的，，这款装备的固件仅附带 SHA-256 校验值，，并无加密署名，，莫拉茨修改固件镜像后，，可重新天生校验值绕过检测。。。。。

为实现恶意使用，，他修改了音响的 USB 形貌符。。。。。该装备原本仅支持基础媒体控制，，修改后会向电脑伪装成键盘。。。。。装备固件基于改版的实时操作系统 FreeRTOS 运行，，莫拉茨并未特殊编写按键注入代码，，而是改写了系统中一项闲置的诊断使命：装备每次开机、USB 模？槠舳，，就会自动输入并执行指令。。。。。他制作的看法验证程序会输出指令 echo pwned，，而使用统一套逻辑，，攻击者还可以调出微软 PowerShell，，并粘贴执行恶意单行代码。。。。。

将正常 USB 外设改动伪装成键盘，，正是 BadUSB 攻击的焦点原理。。。。。早在 2014 年，，卡斯滕?诺尔与雅各布?莱尔就在黑帽清静大会上展示了该攻击手段，，并忠言称其时绝大大都 USB 控制器出厂时都未开启固件真伪校验。。。。。

古板 BadUSB 攻击需要使用者自动接入改动后的装备，，而莫拉茨此次突破了这一限制：受害者使用的仍是自己原本信任的硬件，，攻击者仅需在房间另一端远程改动装备即可。。。。。多年来，，多款民用数码产品都泛起过类似清静问题，，好比联网床具的固件误差会泄露用户家庭网络信息，，尚有蓝波（BlueBorne）误差，，可让攻击者无需配对就能控制种种蓝牙装备。。。。。

莫拉茨体现，，整个研究历程中最难的环节是联系装备厂商立异科技 —— 该公司仅提供在线客服表单这一种相同渠道。。。。。他两次自行反馈均无果后，，转而通过新加坡网络清静应急响应中心（SingCERT）上报问题，，而该机构同样迟迟没能获得厂商回应。。。。。

据莫拉茨形貌，，立异科技最终给出的回复是：“我们不以为这属于清静误差，，该问题不会引发网络清静风险。。。。。”无奈之下，，莫拉茨只能自行推出工具：该工具可下载官方固件、封堵蓝牙端的立异传输协议误差，，并通过 USB 重新刷写装备固件。。。。。不过这套修复方案或许率会导致立异科技移动端 APP 无法正常使用，，同时莫拉茨也提到，，在没有厂商源代码的条件下，，很难为蓝牙协议补上正规的身份验证机制。。。。。另外，，这款音响即便进入休眠模式，，蓝牙功效也会一连开启，，且没有可以手动关闭的显着选项。。。。。

半导体掀涨停潮，，长川科技、兴福电子、澜起科技、普冉股份“20cm”涨停，，长电科技、钧达股份、亚玛顿、兆易立异涨停，，矽电股份等多股涨超10%。。。。。