吳明宜安全廠商發現,有近 30 款市售藍牙耳機中,有藍牙晶片組漏洞,可被用來竊聽或竊取敏感資訊。
在德國 TROOPERS 資安大會上,資安廠商 ERNW 研究人員揭露眾多真實無線立體聲 (True Wireless Stereo, TWS) 耳機產品使用的 Airoha SoC 的 3 項漏洞。這 3 個漏洞包括 GATT 服務欠缺驗證 (CVE-2025-20700, CVSS score 6.7) 、 Bluetooth BR/EDR 欠缺驗證 (CVE-2025-20701, CVSS score 6.7) 及從自製協定讀寫記憶體 (CVE-2025-20702, CVSS score 9.6) 。
但 3 項漏洞風險僅在中度,因攻擊者需要有高度技術能力,並且必須進入目標耳機的藍牙通訊範圍,減低了部份危險性。
研究人員證實,有 29 款藍牙耳機受影響,包括 Beyerdynamic 、 Bose 、 Sony 、 Marshall 、 Jabra 、 JBL 、 Jlab 、 EarisMax 、 MoerLabs 和 Teufel 等。
ERNW 研究人員建立了一種概念驗證程式,使其得以從目標無線耳機中讀取正在播放的媒體內容。雖然這乍看不是太具危險性,但研究人員設計了其他情境,可讓攻擊者劫持手機和藍牙聲音裝置(如藍牙耳機)之間的連線,使用藍牙免持裝置規範 (Bluetooth Hands-Free Profile,HFP) 對手機發送指令。
例如,研究人員可以從受害者手機記憶體中截取藍牙連線金鑰 link key?撥打任意電話。他們也可撥出通話「成功竊聽用戶對話或手機附近的聲音。」
研究人員說,可用指令要視手機作業系統而定,但在所有主要手機 OS 上,至少都能撥打或接聽來電。
此外,受害裝置韌體可能被覆寫以執行遠端程式碼,進而發動跨裝置部署,將惡意程式擴散多台裝置。
但研究人員也承認,實際大規模實作面臨限制。因為實際攻擊相當複雜,一來技術很複雜,二來攻擊者需要親身接近目標人物,像是外交官、記者、異人士或重要產業公司高層身邊。
Airoha 已經發佈可防止攻擊的更新版 SDK,裝置業者也已開始部署到產品中。
但德國媒體 Heise 指出,半數產品問題的最新版韌體都是 5 月 27 日以前發佈,都不包含 Airoha 發佈的最新 SDK 。