Вразливості в Bluetooth-пристроях Airoha: загроза для бездротових навушників

У Bluetooth-пристроях, що використовують SoC від компанії Airoha Systems, виявлено вразливості, які дозволяють отримати контроль над пристроєм через надсилання спеціально оформлених даних через Bluetooth Classic або BLE (Bluetooth Low Energy). Атака може бути здійснена без автентифікації та без попереднього сполучення, за наявності пристрою жертви в зоні досяжності сигналу Bluetooth (приблизно 10 метрів). Вразливості зачіпають деякі моделі бездротових навушників, колонок і мікрофонів від Sony, Marshall, Beyerdynamic та менш відомих компаній.

Механізм атаки на Bluetooth-пристрої

Дослідники, які виявили вразливість, змогли підготувати прототип інструментарію, що дозволяє віддалено через Bluetooth читати та записувати дані в оперативну пам’ять і Flash. На практиці, отримання повного доступу до пам’яті навушників може використовуватися для атаки на смартфон користувача, сполучений з навушниками.

Зокрема, згадується, що через взаємодію навушників зі смартфоном можна отримати доступ до вмісту адресної книги, витягти історію дзвінків, здійснювати дзвінки та прослуховувати розмови або звуки, що вловлюються мікрофоном.

Технічні деталі вразливостей Bluetooth-пристроїв

Для взаємодії зі смартфоном зі скомпрометованих навушників використовуються можливості Bluetooth-профілю HFP (Hands-Free Profile), що дозволяє надсилати команди на смартфон. Через складність експлуатації вразливостей можна припустити, що проблеми будуть затребувані для проведення цільових атак на конкретних осіб, а не для масового застосування проти звичайних користувачів.

Проблема в тому, що інструментарій для проведення атаки має бути реалізований для кожної окремої моделі навушників, оскільки необхідно враховувати відмінності розкладки пам’яті в кожній прошивці.

Виявлені вразливості в Bluetooth-стеку Airoha

Проведення атаки можливе завдяки виявленню трьох вразливостей у Bluetooth-стеку Airoha. Вразливості CVE-2025-20700 і CVE-2025-20701 дозволяють встановити канал зв’язку з Bluetooth BR/EDR (Bluetooth Classic) і сервісами GATT (Bluetooth Low Energy) без проходження автентифікації, а вразливість CVE-2025-20702 дозволяє задіяти специфічний для SoC Airoha розширений протокол для маніпуляції пристроєм.

Більше того, дослідники виявили, що службовий розширений протокол, серед іншого дозволяє читати і записувати дані в ОЗП і Flash, доступний без з’єднання пристроїв через BLE GATT або Bluetooth Classic RFCOMM.

Реакція виробника та стан виправлень

Інформація про наявність вразливостей була відправлена до компанії Airoha 25 березня, але відповідь вдалося отримати лише 27 травня після кількох повторних спроб зв’язатися з Airoha та залучення до цього деяких виробників пристроїв.

4 червня компанія Airoha почала поширення серед виробників оновленого SDK, що включає можливості для блокування вразливостей. Наприкінці червня після закінчення 90 днів з моменту відправлення інформації про проблему дослідники опублікували загальні відомості про вразливості, але вирішили поки не розкривати деталі, що стосуються проблемного протоколу, щоб дати виробникам додатковий час на поширення оновлень прошивок.

Список вразливих Bluetooth-пристроїв

Пристрої, в яких підтверджено наявність розглянутих вразливостей:

• Beyerdynamic Amiron 300;
• Bose QuietComfort Earbuds;
• EarisMax Bluetooth Auracast Sender;
• Jabra Elite 8 Active;
• JBL Endurance Race 2, JBL Live Buds 3;
• Jlab Epic Air Sport ANC;
• Marshall ACTON III, MAJOR V, MINOR IV, MOTIF II, STANMORE III, WOBURN III;
• MoerLabs EchoBeatz;
• Sony CH-720N, Link Buds S, ULT Wear, WF-1000XM3/4/5, WF-C500, WF-C510-GFP, WH-1000XM4/5/6, WH-CH520, WH-XB910N, WI-C100;
• Teufel Tatws2.

Більш детальну інформацію про вразливості можна знайти на офіційному сайті дослідників або на сайті компанії Airoha.