使用 Airoha Systems SoC 的藍牙裝置中發現了漏洞,攻擊者可以透過經典藍牙或低功耗藍牙 (BLE) 發送特殊資料來控制裝置。只要受害者的裝置位於藍牙訊號覆蓋範圍內(約 10 公尺),攻擊即可在無需身份驗證和事先配對的情況下進行。這些漏洞影響索尼、馬歇爾、拜亞動力以及其他一些知名品牌的部分無線耳機、揚聲器和麥克風型號。
發現該漏洞的研究人員已經開發出一個工具包原型,該工具包允許透過藍牙遠端讀寫 RAM 和 Flash 資料。實際上,在取得耳機記憶體的完全存取權限後,即可攻擊與耳機配對的使用者智慧型手機。具體而言,研究人員指出,透過耳機與智慧型手機的交互,攻擊者可以存取通訊錄內容、提取通話記錄、撥打電話以及監聽麥克風捕捉到的對話或聲音。
為了透過受感染的耳機與智慧型手機進行交互,需要使用藍牙設定檔 HFP(免持設定檔)的功能,從而允許向智慧型手機發送命令。由於漏洞利用的複雜性,可以假設這些漏洞將用於針對特定個體的定向攻擊,而不是針對普通用戶的大規模攻擊。問題在於,必須針對每種型號的耳機單獨實現攻擊工具,因為必須考慮到每個韌體中記憶體佈局的差異。
此次攻擊可能源自於Airoha藍牙堆疊中的三個漏洞。漏洞CVE-2025-20700和CVE-2025-20701允許在未經身份驗證的情況下與藍牙BR/EDR(經典藍牙)和GATT(低功耗藍牙)服務建立通訊通道,而漏洞CVE-2025-20702允許使用Airoha SoC特有的擴展協議來操縱設備。研究人員發現,該擴展服務協定(其中包括允許讀寫RAM和快閃記憶體資料)無需透過BLE GATT或經典藍牙RFCOMM配對裝置即可使用。
該漏洞資訊於25月27日發送給Airoha,但直到4月90日,在多次嘗試聯繫Airoha並有多家設備製造商參與後,Airoha才收到回覆。 XNUMX月XNUMX日,Airoha開始向製造商分發更新的SDK,其中包含阻止漏洞的功能。 XNUMX月下旬,在問題提交XNUMX天后,研究人員發布了有關漏洞的一般信息,但決定暫時不披露有關問題協議的詳細信息,以便製造商有更多時間分發固件更新。
已確認存在該漏洞的設備:
- 拜雅動力 Amiron 300;
- Bose Quiet Comfort 耳塞;
- EarisMax 藍牙 Auracast 發射器;
- Jabra Elite 8 Active;
- JBL Endurance Race 2、JBL Live Buds 3;
- Jlab Epic Air Sport ANC;
- 馬歇爾·阿克頓 III、MAJOR V、MINOR IV、MOTIF II、STANMORE III、WOBURN III;
- MoerLabs EchoBeatz;
- Sony CH-720N、Link Buds S、ULT Wear、WF-1000XM3/4/5、WF-C500、WF-C510-GFP、WH-1000XM4/5/6、WH-CH520、WH-XB910N、WI-C100;
- Teufel Tatws2。
來源: opennet.ru
