Soundbar Creative Bluetooth ternyata bisa jadi senjata rahasia hacker untuk bobol PC kamu. Kedengerannya kayak plot film sci-fi, tapi ini nyata — dan sudah dikonfirmasi oleh security researcher dari Estonia.
Rasmus Moorats, peneliti keamanan dari Tallinn University of Technology, baru saja mengungkap celah kritis pada Sound Blaster Katana V2X buatan Creative Technologies. Celah pada soundbar Creative Bluetooth ini memungkinkan serangan jarak jauh yang sangat berbahaya. Lewat koneksi Bluetooth saja, seseorang dalam radius 15 meter bisa mengambil alih soundbar ini, mengganti firmware-nya, lalu mengubahnya jadi keyboard palsu yang bisa mengetik perintah berbahaya langsung ke PC kamu.
Yang bikin ngeri? Semua ini terjadi tanpa pairing, tanpa izin, dan tanpa korban sadar sama sekali.
Bagaimana Soundbar Creative Bluetooth Bisa Jadi Celah Hacker?
Skema serangannya sebenarnya cukup elegan (dari sudut pandang teknis). Moorats menemukan bahwa soundbar Katana V2X menggunakan protokol proprietary bernama CTP (Creative Transport Protocol) untuk mengatur pengaturan dan update firmware. Lewat USB, protokol ini butuh autentikasi. Tapi lewat Bluetooth? Sama sekali tidak ada autentikasi.
Artinya, siapa pun bisa menghubungkan laptop atau HP-nya ke soundbar ini lewat Bluetooth — tanpa pairing, tanpa konfirmasi — dan langsung mengirim perintah CTP. Termasuk perintah untuk mengupload firmware baru.
Satu-satunya “pengaman” yang ada adalah checksum SHA-256 (disebut CHK2), yang ternyata trivial untuk di-bypass. Tidak ada digital signature, tidak ada verifikasi kode. Begitu checksum-nya dihitung ulang, firmware modifikasi diterima begitu saja oleh perangkat.
Baca juga: WhatsApp Rilis Fitur Anti-Spyware, Lindungi Pengguna dari Serangan Digital
Dari Speaker Jadi Keyboard: Serangan BadUSB Jarak Jauh
Setelah firmware berhasil diganti, soundbar berubah fungsi total. Perangkat ini berjalan di atas FreeRTOS dan sudah punya dukungan USB HID (Human Interface Device) untuk kontrol volume dan media. Moorats tinggal menambahkan descriptor keyboard ke interface USB yang sudah ada, lalu menyuntik kode keystroke injector seukuran 102 byte ARM assembly.
Hasilnya? Ketika soundbar terhubung ke PC lewat USB (yang memang setup default-nya), komputer mengenalinya sebagai keyboard resmi. Tidak ada peringatan, tidak ada popup konfirmasi. Begitu firmware baru aktif, soundbar bisa mengetik perintah apapun yang diinginkan attacker — mulai dari membuka Command Prompt, menjalankan script, hingga menginstal malware.
Demonstrasi Moorats menunjukkan soundbar mengetik echo pwned ke PC target setelah boot. Dalam skenario serangan nyata, perintahnya bisa jauh lebih berbahaya: download malware, exfiltrate data, atau bahkan mengaktifkan mikrofon built-in soundbar untuk menyadap percakapan.
Creative Menolak Mengakui sebagai Vulnerability
Ini bagian yang paling bikin geregetan. Moorats sudah mencoba menghubungi Creative Technologies sejak April 2026 — dua kali — tapi tidak pernah dapat respons. Dia lalu melaporkan temuannya ke SingCERT (Singapore Computer Emergency Response Team), yang akhirnya berhasil menghubungi Creative di Mei 2026.
Respons Creative? Mereka menolak mengakui ini sebagai vulnerability, dengan alasan “tidak menimbulkan risiko cybersecurity.” Ya, kamu tidak salah baca. Perusahaan yang produknya bisa disulap jadi alat peretas dari jarak 15 meter menganggap ini bukan masalah keamanan.
Lebih parah lagi, setelah Moorats mempublikasikan write-up-nya pada 3 Juni 2026, Creative justru menghapus semua URL download firmware untuk perangkat Katana. Bukannya merilis patch, mereka malah mematikan tool komunitas yang dibuat Moorats untuk melindungi pengguna. Hasilnya? Pengguna sekarang terjebak dengan firmware yang vulnerable tanpa jalan keluar resmi.
Baca juga: Passkeys Wajib Dicoba: Login Tanpa Password Lebih Aman
Bluetooth Selalu Aktif — Bahkan Saat Sleep
Detail yang bikin makin khawatir: radio Bluetooth di soundbar Katana V2X tetap aktif bahkan dalam mode sleep. Artinya perangkat ini bisa diserang kapan saja, selama masih tercolok listrik.
Bayangkan skenario ini: kamu punya Katana V2X di meja kerja, terhubung ke PC lewat USB. Seseorang yang berada di gedung sebelah — atau bahkan di parkiran — bisa mengirim firmware jahat lewat Bluetooth tanpa kamu sadari. Proses upload firmware butuh sekitar 10 menit via BLE (Bluetooth Low Energy), tapi setelah selesai, PC kamu sudah dikompromikan.
Tidak ada suara, tidak ada notifikasi, tidak ada yang mencurigakan. Soundbar tetap berfungsi normal sambil diam-diami menjalankan perintah attacker di background.
Siapa yang Terdampak?
Vulnerability ini tidak hanya mempengaruhi Katana V2X. Moorats menyebut bahwa model Katana V2 dan Katana SE kemungkinan besar juga terdampak karena menggunakan arsitektur dan protokol yang sama. Mengingat harga Katana V2X sekitar $283 (sekitar Rp4,5 juta) dan cukup populer di kalangan gamer dan content creator, jumlah pengguna yang berisiko bisa sangat besar.
Produk Creative sendiri dijual luas di Indonesia melalui e-commerce seperti Tokopedia dan Shopee. Kasus soundbar Creative Bluetooth ini bukan masalah yang jauh — ini sudah ada di meja kerja banyak orang Indonesia.
Apa yang Bisa Dilakukan Pengguna?
Sayangnya, opsi mitigasi sangat terbatas saat ini:
- Matikan Bluetooth saat tidak dipakai — Tapi ini tidak mudah karena tidak ada tombol fisik untuk mematikan Bluetooth di Katana V2X
- Cabut kabel USB dari PC saat tidak menggunakan soundbar — Ini mencegah serangan BadUSB tapi menghilangkan fungsi audio
- Gunakan koneksi aux/optical alih-alih USB — Soundbar tetap berfungsi sebagai speaker tanpa terhubung sebagai USB device
- Pantau perangkat USB yang terhubung ke PC kamu — Jika tiba-tiba muncul device keyboard baru yang tidak dikenal, itu red flag besar
Moorats sebenarnya sudah membuat tool patcher komunitas yang bisa memblokir CTP lewat Bluetooth, tapi Creative sudah mematikan server firmware-nya, sehingga tool tersebut tidak bisa digunakan lagi.
Baca juga: Fitur Android 17: 4 Pembaruan Wajib Coba Gemini Intelligence, Pause Point, dan Lainnya
Pelajaran untuk Industri IoT
Kasus soundbar Creative Bluetooth ini bukan yang pertama — dan pasti bukan yang terakhir. Tapi ada beberapa pelajaran penting yang bisa diambil:
Pertama, protokol proprietary bukan jaminan keamanan. CTP bahkan tidak punya autentikasi lewat Bluetooth — ini kesalahan desain mendasar yang seharusnya tidak terjadi di produk consumer tahun 2026.
Kedua, update firmware tanpa digital signature adalah bencana yang menunggu waktu. Checksum saja tidak cukup — attacker tinggal menghitung ulang hash setelah memodifikasi firmware.
Ketiga, respons vendor yang menolak mengakui vulnerability justru memperparah situasi. Daripada merilis patch, Creative memilih menutup akses — yang artinya pengguna sekarang lebih vulnerable dari sebelumnya.
Kalau kamu punya produk Creative Katana series, waspada dan pertimbangkan langkah mitigasi di atas. Kasus soundbar Creative Bluetooth ini mengingatkan kita bahwa setiap perangkat yang terhubung ke jaringan — mulai dari smart speaker, webcam, sampai smart light — punya potensi jadi celah keamanan serius.
Sumber
- Pwnd Blaster: Hacking your PC using your speaker — Rasmus Moorats (nns.ee)
- Highly reviewed speaker can be hacked over the air — Ars Technica
- Creative’s Sound Blaster Katana V2X can be hijacked over Bluetooth — Tom’s Hardware
- USB Speaker Bug Lets Hackers Hijack Your PC — Technology Org
