在成功将固件替换为仅在扬声器的 LED 显示屏上显示 "patched" 字样的替代镜像后，研究人员开始思考黑客可能还会做什么。因此，他将注意力转向了运行 Katana V2X 的开源操作系统 FreeRTOS。它包含一组 HID 功能，使扬声器能够作为人机接口设备，这一分类包括键盘、鼠标和网络摄像头。扬声器实现了有限的 HID，允许进行调节音量和播放或暂停音频等操作，但除此之外没有其他功能。研究人员发现他可以更改扬声器的 USB 描述符集，这本质上是一个报告，告知设备有关 USB 或蓝牙连接外设的能力。他能够用一个报告扬声器是键盘的第二个描述符集来增强现有的描述符集。然后，他利用固件中已经包含的代码简化发送按键的过程。所有这些让 Moorats 想到了一个主意：如果他使用他的设备向扬声器发送使用 HID 将其传递到连接 PC 的命令呢？经过一些试验，他发现他可以做到。在周三发布的一篇博客文章中，他写道：将所有这些串联在一起，我能够完全远程地、通过无线上传一个自定义固件到我尚未配对的扬声器，它会重启、刷新自定义固件，并在重启后输入命令 echo pwned 并执行它。信用：Rasmus Moorats 在一次真实攻击场景中，我会执行打开 powershell.exe 或类似程序的按键，并粘贴一个实际上恶意的单行代码，但作为一个概念证明，这对我来说已经足够了。真正的攻击者也可能会在正常和恢复模式下禁用更新固件的例程，这将使得无法从设备中删除恶意固件或在以后进行修补。这一问题因扬声器即使在睡眠模式下也始终保持蓝牙开启，并且没有明显的方式将其禁用而加剧。在扬声器和 USB 连接设备可以交互之前，它们必须成功完成一个挑战与响应的认证程序。由于设备在每次软件启动时自动执行这个握手，因此这通常对黑客来说不是问题。然而，在某些情况下，例如当连接设备上未打开 Katana V2X 应用时，这是一个必要条件。