Vulnerabilidades foram identificadas em dispositivos Bluetooth que utilizam SoCs da Airoha Systems, permitindo que um invasor assuma o controle do dispositivo enviando dados especialmente criados via Bluetooth Classic ou BLE (Bluetooth Low Energy). O ataque pode ser realizado sem autenticação e sem pareamento prévio, desde que o dispositivo da vítima esteja dentro do alcance do sinal Bluetooth (aproximadamente 10 metros). As vulnerabilidades afetam alguns modelos de fones de ouvido, alto-falantes e microfones sem fio da Sony, Marshall, Beyerdynamic e de empresas menos conhecidas.
Os pesquisadores que identificaram a vulnerabilidade conseguiram preparar um protótipo de um kit de ferramentas que permite a leitura e gravação remota de dados na RAM e no Flash via Bluetooth. Na prática, obter acesso total à memória dos fones de ouvido pode ser usado para atacar o smartphone do usuário pareado com os fones. Em particular, menciona-se que, por meio da interação dos fones de ouvido com o smartphone, é possível acessar o conteúdo da agenda, extrair o histórico de chamadas, fazer chamadas e ouvir conversas ou sons capturados pelo microfone.
Para interagir com o smartphone a partir dos fones de ouvido comprometidos, são utilizados os recursos do perfil Bluetooth HFP (Hands-Free Profile), que permite o envio de comandos ao smartphone. Devido à complexidade da exploração das vulnerabilidades, pode-se presumir que os problemas serão direcionados a ataques direcionados a indivíduos específicos, e não ao uso em massa contra usuários comuns. O problema é que as ferramentas para realizar o ataque devem ser implementadas para cada modelo de fone de ouvido, pois é necessário levar em consideração as diferenças no layout de memória de cada firmware.
O ataque é possível devido a três vulnerabilidades na pilha Bluetooth do Airoha. As vulnerabilidades CVE-2025-20700 e CVE-2025-20701 permitem o estabelecimento de um canal de comunicação com os serviços Bluetooth BR/EDR (Bluetooth Classic) e GATT (Bluetooth Low Energy) sem autenticação, e a vulnerabilidade CVE-2025-20702 permite o uso de um protocolo estendido específico do SoC Airoha para manipular o dispositivo. Os pesquisadores descobriram que o protocolo de serviço estendido, que, entre outras coisas, permite a leitura e gravação de dados na RAM e no Flash, está disponível sem o pareamento de dispositivos via BLE GATT ou Bluetooth Classic RFCOMM.
As informações sobre a vulnerabilidade foram enviadas à Airoha em 25 de março, mas somente em 27 de maio foi recebida uma resposta, após diversas tentativas de contato com a empresa e o envolvimento de diversos fabricantes de dispositivos. Em 4 de junho, a Airoha começou a distribuir aos fabricantes um SDK atualizado, que incluía recursos para bloquear as vulnerabilidades. No final de junho, 90 dias após o envio do problema, os pesquisadores publicaram informações gerais sobre as vulnerabilidades, mas decidiram não divulgar detalhes sobre o protocolo problemático naquele momento, para dar aos fabricantes mais tempo para distribuir as atualizações de firmware.
Dispositivos que foram confirmados como portadores das vulnerabilidades em questão:
- Beyerdynamic Amiron 300;
- Fones de ouvido Bose Quiet Comfort;
- EarisMax Bluetooth Auracast Sender;
- Jabra Elite 8 Ativo;
- JBL Endurance Race 2, JBL Live Buds 3;
- Jlab Epic Air Sport ANC;
- Marshall ACTON III, MAIOR V, MENOR IV, MOTIVO II, STANMORE III, WOBURN III;
- MoerLabs EchoBeatz;
- Sony CH-720N, Link Buds S, ULT Wear, WF-1000XM3/4/5, WF-C500, WF-C510-GFP, WH-1000XM4/5/6, WH-CH520, WH-XB910N, WI-C100;
- Teufel Tatws2.
Fonte: opennet.ru
