Sound Blaster Katana V2X: Soundbar wird zur Tastatur-Attacke

06.06.2026 - 08:07:01 | boerse-global.de

Sicherheitsforscher entdeckt kritische Schwachstelle in Sound Blaster Katana V2X. Angreifer können Computer aus 15 Metern fernsteuern.

Creative Soundbar: Bluetooth-Lücke erlaubt PC-Fernsteuerung — Sound - A sleek, modern desktop soundbar speaker with a blue glow connected to a laptop, with abstract digital lines in the background. 06.06.2026 - Bild: über boerse-global.de

Eine Schwachstelle in einer beliebten Desktop-Soundbar erlaubt Hackern die Fernsteuerung angeschlossener Computer – und das ganz ohne Passwort.

Der Sicherheitsforscher Rasmus Moorats entdeckte das Problem in der Creative Sound Blaster Katana V2X, einem High-End-Lautsprecher für rund 280 bis 300 Euro. Die Schwachstelle liegt im hauseigenen Creative Transport Protocol (CTP), das über Bluetooth Low Energy (BLE) ausgestrahlt wird – und zwar ohne jede Authentifizierung.

Immer online, immer verwundbar

Anzeige: Ihre Soundbar ist dauerhaft per Bluetooth aktiv – selbst im Schlafmodus. Angreifer können Ihren PC aus 15 Metern fernsteuern. Der inoffizielle Patch schließt die Lücke. Jetzt kostenlosen Sicherheits-Guide anfordern

Das Tückische: Die Bluetooth-Funktion der Soundbar ist dauerhaft aktiv – selbst im Schlafmodus. Angreifer können sich daher aus einer Entfernung von bis zu 15 Metern mit dem Gerät verbinden, ohne es jemals berührt zu haben. Eine Kopplung oder ein Passwort ist nicht nötig.

Das eigentliche Problem sitzt jedoch tiefer. Die Soundbar prüft bei Firmware-Updates zwar die Datei-Integrität per SHA-256-Checksumme, aber nicht die Herkunft der Software. Fehlende kryptografische Signaturen machen es möglich: Mit einem einfachen Python-Skript lässt sich schadhafte Firmware aufspielen.

Vom Lautsprecher zur Tastatur-Attacke

Ist die manipulierte Firmware erst installiert, verwandelt sich die Soundbar in ein sogenanntes BadUSB-Gerät. Sie emuliert eine Tastatur und sendet beliebige Tastenbefehle an den angeschlossenen Windows-PC.

Die Sicherheitsforscher demonstrierten den Angriff mit simplen Befehlen wie "echo pwned". Theoretisch ließen sich aber auch weitreichendere Aktionen ausführen – etwa das Installieren von Schadsoftware oder das Auslesen von Daten. Der entscheidende Vorteil für Angreifer: Sie benötigen keinen physischen Zugriff auf den Computer, sondern nur die Nähe zur Soundbar.

Hersteller sieht kein Problem – Forscher legt Patch vor

Anzeige: Hersteller verweigert Update? Der Sicherheitsforscher hat einen inoffiziellen Patch veröffentlicht, der das CTP-Protokoll blockiert. Mit unserer Checkliste konfigurieren Sie Ihre Bluetooth-Geräte sicher. Patch und Checkliste jetzt sichern

Die Reaktion von Creative fällt verhalten aus. Trotz der Warnungen durch den Sicherheitsforscher und die Behörde CERT Singapore weigert sich der Hersteller, das Verhalten als Sicherheitslücke einzustufen. Ein offizielles Update ist bislang nicht in Sicht.

Moorats hat daraufhin einen inoffiziellen Patch veröffentlicht. Er blockiert das CTP-Protokoll über BLE und schließt damit die Angriffsfläche.

Der Fall reiht sich ein in aktuelle Warnungen von US-Behörden. Erst vor wenigen Tagen riet die FCC allen Smartphone-Nutzern, Bluetooth zu deaktivieren, wenn es nicht gebraucht wird. Der Unterschied: Bei der Katana V2X können Anwender die Bluetooth-Funktion nicht einfach abschalten – sie läuft permanent.

So schätzen die Börsenprofis Aktien ein!

Seit 2005 liefert der Börsenbrief trading-notes verlässliche Anlage-Empfehlungen – dreimal pro Woche, direkt ins Postfach. 100% kostenlos. 100% Expertenwissen. Trage einfach deine E-Mail Adresse ein und verpasse ab heute keine Top-Chance mehr. Jetzt abonnieren.
Für. Immer. Kostenlos.

de | wissenschaft | 69491411 |