Nakon uspješnog zamjenjivanja firmware-a s alternativnom slikom koja nije radila ništa više od prikazivanja riječi “patched” na LED ekranu zvučnika, istraživač se zapitao što bi još haker mogao učiniti. Usmjerio je svoju pažnju na FreeRTOS, otvoreni operativni sustav koji je pokretao Katana V2X. Uključivao je skup HID funkcija koje omogućuju zvučniku da djeluje kao uređaj za ljudsko sučelje, što uključuje tipkovnice, miševe i web kamere. Zvučnik je implementirao ograničeni HID koji je omogućavao stvari poput promjene jačine zvuka i reprodukcije ili pauziranja zvuka, ali malo toga više.
Istraživač je otkrio da može promijeniti USB opisni skup zvučnika, što u osnovi predstavlja izvještaj koji informira uređaje o mogućnostima USB- ili Bluetooth-priključenog periferija. Uspio je dodati postojeći opisni skup s drugim koji je izvještavao da je zvučnik tipkovnica. Zatim je iskoristio kod već uključen u firmware kako bi pojednostavio proces slanja pritisaka tipki.
Sve to dalo je Mooratsu ideju: Što ako koristi svoj uređaj za slanje komandi zvučniku koje koristi HID za njihovo prosljeđivanje povezanim PC-u? Nakon nekog isprobavanja, otkrio je da može. U blog postu objavljenom u srijedu, napisao je: ‘Spajajući sve zajedno, uspio sam potpuno daljinski, bežično, učitati prilagođeni firmware na svoj zvučnik koji nisam upario, koji bi se ponovno pokrenuo, flashao prilagođeni firmware i nakon ponovnog pokretanja upisao naredbu echo pwned i izvršio je.’
U pravoj napadačkoj situaciji, izvršio bih pritiske tipki za otvaranje powershell.exe ili sličnog i zalijepio zapravo zloćudni jednolinijaš u to, ali kao dokaz koncepta, ovo je bilo više nego dovoljno za mene. Pravi napadač također bi vjerojatno onemogućio rutinu za ažuriranje firmware-a u normalnom i načinu oporavka, čineći nemogućim brisanje zloćudnog firmware-a s uređaja ili njegovu zakrpu u budućnosti.
To dodatno pogoršava činjenica da je Bluetooth uvijek uključen za zvučnik, čak i u načinu spavanja, bez očiglednog načina da ga isključite. Prije nego što zvučnik i USB-priključen uređaj mogu međusobno komunicirati, moraju uspješno završiti proceduru autentifikacije izazov-odgovor. Budući da uređaji automatski izvode ovaj handshake svaki put kada se softver pokrene, to obično nije problem za hakera. U određenim slučajevima, međutim, kao kada aplikacija Katana V2X nije otvorena na povezanom uređaju, to je obavezno.
