蓝牙芯片供应链重大漏洞披露:数亿设备面临「耳机劫持」风险
文章披露了蓝牙音频芯片供应链的重大安全漏洞,涉及达发科技的Airoha芯片及其固件中的RACE协议。这些漏洞可能导致攻击者在无需配对的情况下控制耳机,并通过「耳机劫持」技术反向控制智能手机。主要漏洞包括GATT服务认证缺失、蓝牙BR/EDR认证缺失和自定义协议中的关键功能暴露。受影响设备广泛应用于索尼、JBL等品牌耳机和音响产品中。 2025-12-29 03:15:33 Author: www.freebuf.com(查看原文) 阅读量:0 收藏

freeBuf

主站

分类

云安全 AI安全 开发安全 终端安全 数据安全 Web安全 基础安全 企业安全 关基安全 移动安全 系统安全 其他安全

特色

热点 工具 漏洞 人物志 活动 安全招聘 攻防演练 政策法规

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

网络安全研究领域披露了一组涉及蓝牙音频芯片供应链的重大安全漏洞。这些漏洞存在于达发科技(联发科子公司)生产的蓝牙系统级芯片及其软件开发工具包中。由于该系列芯片被广泛应用于全球各大知名品牌的耳机与音响产品中,导致数亿台设备暴露在攻击面之下。攻击者利用这些漏洞,可在无需配对、无需用户交互的情况下,实现对目标设备的完全控制,进而实施窃听、固件篡改甚至通过「耳机劫持」技术反向控制已连接的智能手机。

本次披露的漏洞主要集中在Airoha芯片固件中实现的一种专有协议——RACE。该协议本应仅用于工厂生产线测试或开发调试,但在大量市售产品的固件中未被移除或禁用,且缺乏必要的认证机制。

主要涉及的三个关键CVE漏洞如下:

  1. CVE-2025-20700(GATT服务认证缺失): 攻击者可通过低功耗蓝牙发现并连接目标设备。虽然GATT服务通常用于低带宽通信,但由于缺乏服务级认证,攻击者可借此建立隐蔽通道,访问RACE协议接口。

  2. CVE-2025-20701(蓝牙BR/EDR认证缺失): 在经典蓝牙模式下,受影响设备未强制执行配对认证。攻击者可直接建立连接,绕过标准的蓝牙配对流程。这为后续的高带宽数据传输和音频流劫持打开了大门。

  3. CVE-2025-20702(自定义协议中的关键功能暴露): 这是最为严重的漏洞。通过暴露的RACE协议接口,攻击者可以直接向设备发送指令,实现对芯片内存和闪存的读写操作。这意味着攻击者不仅能提取设备内的敏感数据,还能直接覆盖设备固件,实现远程代码执行。

与传统的蓝牙攻击不同,本次披露的威胁不仅限于耳机本身,更可怕的是其带来的横向移动能力,即所谓的「耳机劫持」。完整的攻击链条如下:

  1. 无感接入: 攻击者在物理接近受害者(通常10米范围内)时,利用CVE-2025-20700或CVE-2025-20701,在受害者毫无察觉的情况下连接其蓝牙耳机。

  2. 提取凭据: 利用CVE-2025-20702的内存读取能力,攻击者从耳机内存中提取出与受害者手机配对生成的「链路密钥」和手机的蓝牙MAC地址。

  3. 身份伪冒与横向移动: 获取链路密钥后,攻击者可将自己的攻击设备伪装成受害者的耳机。由于拥有合法的密钥,受害者的手机会认为这是可信设备,自动接受连接。

  4. 控制终端: 一旦连接建立,攻击者即可通过蓝牙HFP(免提配置文件)或A2DP协议向手机发送指令。这包括但不限于:

  • 窃听与录音: 激活麦克风进行环境监听。
  • 发起呼叫: 强制手机拨打特定号码。
  • 信息窃取: 获取通讯录、通话记录等敏感信息。
  • 恶意指令注入: 通过语音助手接口注入恶意语音指令。

此次事件是典型的供应链安全危机。Airoha作为MediaTek(联发科)的子公司,其芯片方案以高性价比著称,被广泛应用于索尼(Sony)、JBL、小米、Realme、Marshall、Bose等众多知名品牌的中低端乃至旗舰产品中。

  • 隐蔽性强: 许多厂商在使用芯片提供的SDK进行二次开发时,并未意识到RACE协议的残留风险,直接将包含调试接口的固件推向市场。
  • 补丁分发困难: 尽管芯片原厂可能已发布修复后的SDK,但由于蓝牙耳机的固件升级率极低,且部分低端设备甚至不支持OTA升级,这意味着大量存量设备将永久面临风险。
  • 物理危害: 除了数据安全,攻击者还可利用RACE协议极速调高音量至最大值,对佩戴者的听力造成不可逆的物理伤害。
  • Sony: WH-1000XM5, WF-1000XM5, LinkBuds S
  • JBL: Live Buds 3, Endurance Race 2
  • Marshall: Major V, Acton III
  • Beyerdynamic: Amiron 300
  • 小x
  • realyou

针对最终用户:

  1. 固件更新: 立即检查耳机配套App,查看是否有固件更新,并尽快升级至最新版本。
  2. 物理阻断: 在不使用蓝牙设备时,建议彻底关闭耳机电源或手机蓝牙功能,减少暴露窗口。
  3. 异常关注: 若发现耳机无故断连、音量突然变化或手机出现异常配对请求,应立即断开连接并移除配对记录。

针对企业与安全团队:

  1. 资产清查: 企业应禁止在高敏办公区域(如涉密会议室)使用已知受影响品牌的未修补蓝牙音频设备。
  2. 无线监测: 部署无线信号监测系统,识别异常的蓝牙连接行为和非法的BLE广播活动。
  3. BYOD策略更新: 将蓝牙外设的固件版本纳入BYOD设备的准入检查流程中。

本次Airoha芯片漏洞的披露再次证明,硬件底层的专有协议与调试接口已成为物联网设备的一大顽疾。在万物互联的背景下,攻击者正越来越多地利用边缘设备(如耳机)作为跳板,渗透进入更核心的个人计算设备(如手机、PC)。「耳机劫持」不仅是隐私泄露的风险,更可能演变为针对高价值目标的定向攻击工具。

本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)


文章来源: https://www.freebuf.com/articles/endpoint/464424.html
如有侵权请联系:admin#unsafe.sh