Der er identificeret sårbarheder i Bluetooth-enheder, der bruger SoC'er fra Airoha Systems, som giver en angriber mulighed for at få kontrol over enheden ved at sende specielt udformede data via Bluetooth Classic eller BLE (Bluetooth Low Energy). Angrebet kan udføres uden godkendelse og uden forudgående parring, forudsat at offerets enhed er inden for rækkevidde af Bluetooth-signalet (ca. 10 meter). Sårbarhederne påvirker nogle modeller af trådløse hovedtelefoner, højttalere og mikrofoner fra Sony, Marshall, Beyerdynamic og mindre kendte virksomheder.
Forskerne, der identificerede sårbarheden, var i stand til at udarbejde en prototype på et værktøjssæt, der tillader fjernlæsning og -skrivning af data til RAM og Flash via Bluetooth. I praksis kan fuld adgang til hovedtelefonernes hukommelse bruges til at angribe brugerens smartphone, der er parret med hovedtelefonerne. Det nævnes især, at man gennem interaktionen mellem hovedtelefonerne og smartphonen kan få adgang til indholdet af adressebogen, udtrække opkaldshistorikken, foretage opkald og lytte til samtaler eller lyde, der optages af mikrofonen.
For at interagere med smartphonen fra de kompromitterede hovedtelefoner bruges Bluetooth-profilen HFP (Hands-Free Profile), der gør det muligt at sende kommandoer til smartphonen. På grund af kompleksiteten ved at udnytte sårbarhederne kan det antages, at problemerne vil være efterspurgte til målrettede angreb på specifikke individer og ikke til masseanvendelse mod almindelige brugere. Problemet er, at værktøjerne til at udføre angrebet skal implementeres for hver enkelt model af hovedtelefoner, da det er nødvendigt at tage højde for forskellene i hukommelseslayoutet i hver firmware.
Angrebet er muligt på grund af tre sårbarheder i Airoha Bluetooth-stakken. Sårbarhederne CVE-2025-20700 og CVE-2025-20701 muliggør etablering af en kommunikationskanal med Bluetooth BR/EDR (Bluetooth Classic) og GATT (Bluetooth Low Energy) tjenester uden godkendelse, og sårbarhed CVE-2025-20702 tillader brug af en udvidet protokol specifik for Airoha SoC til at manipulere enheden. Forskerne fandt, at den udvidede serviceprotokol, som blandt andet tillader læsning og skrivning af data til RAM og Flash, er tilgængelig uden parring af enheder via BLE GATT eller Bluetooth Classic RFCOMM.
Oplysningerne om sårbarheden blev sendt til Airoha den 25. marts, men det var først den 27. maj, at der blev modtaget et svar efter flere gentagne forsøg på at kontakte Airoha og involvering af flere enhedsproducenter. Den 4. juni begyndte Airoha at distribuere et opdateret SDK til producenter, der inkluderede funktioner til at blokere sårbarhederne. I slutningen af juni, efter at der var gået 90 dage, siden problemet blev indsendt, offentliggjorde forskerne generelle oplysninger om sårbarhederne, men besluttede ikke at offentliggøre detaljer om den problematiske protokol på nuværende tidspunkt for at give producenterne yderligere tid til at distribuere firmwareopdateringer.
Enheder, der er blevet bekræftet at have de pågældende sårbarheder:
- Beyerdynamic Amiron 300;
- Bose Quiet Comfort-øretelefoner;
- EarisMax Bluetooth Auracast-sender;
- Jabra Elite 8 Active;
- JBL Endurance Race 2, JBL Live Buds 3;
- Jlab Epic Air Sport ANC;
- Marshall ACTON III, MAJOR V, MINOR IV, MOTIF II, STANMORE III, WOBURN III;
- MoerLabs EchoBeatz;
- Sony CH-720N, Link Buds S, ULT Wear, WF-1000XM3/4/5, WF-C500, WF-C510-GFP, WH-1000XM4/5/6, WH-CH520, WH-XB910N, WI-C100;
- Teufel Tatws2.
Kilde: opennet.ru
