В Bluetooth-устройствах, использующих SoC от компании Airoha Systems, выявлены уязвимости, позволяющие получить контроль над устройством через отправку специально оформленных данных по Bluetooth Classic или BLE (Bluetooth Low Energy). Атака может быть совершена без аутентификации и без предварительного сопряжения, при наличии устройства жертвы в зоне досягаемости сигнала Bluetooth (примерно 10 метров). Уязвимости затрагивают некоторые модели беспроводных наушников, колонок и микрофонов от Sony, Marshall, Beyerdynamic и менее известных компаний.
Выявившие уязвимость исследователи смогли подготовить прототип инструментария, позволяющего удалённо по Bluetooth читать и записывать данные в оперативную память и Flash. На практике, получения полного доступа к памяти наушников может использоваться для атаки на сопряжённый с наушниками смартфон пользователя. В частности, упоминается, что через взаимодействие наушников со смартфоном можно получить доступ к содержимому адресной книги, извлечь историю звонков, совершать звонки и прослушивать разговоры или улавливаемые микрофоном звуки.
Для взаимодействия со смартфоном со скомпрометированных наушников используются возможности Bluetooth-профиля HFP (Hands-Free Profile), позволяющего отправлять команды на смартфон. Из-за сложности эксплуатации уязвимостей можно предположить, что проблемы будут востребованы для проведения целевых атак на конкретных персон, а не на массовое применение против обычных пользователей. Проблема в том,что инструментарий для проведения атаки должен быть реализован для каждой отдельной модели наушников, так как необходимо учитывать различия раскладки памяти в каждой прошивке.
Проведение атаки возможно благодаря выявлению трёх уязвимостей в Blutooth-стеке Airoha. Уязвимости CVE-2025-20700 и CVE-2025-20701 позволяют установить канал связи с Bluetooth BR/EDR (Bluetooth Classic) и сервисами GATT (Bluetooth Low Energy) без прохождения аутентификации, а уязвимость CVE-2025-20702 позволяет задействовать специфичный для SoC Airoha расширенный протокол для манипуляции устройством. Исследователи выявили, что служебный расширенный протокол, среди прочего позволяющий читать и записывать данные в ОЗУ и Flash, доступен без сопряжения устройств через BLE GATT или Bluetooth Classic RFCOMM.
Информация о наличии уязвимостей была отправлена в компанию Airoha 25 марта, но ответ удалось получить только 27 мая после нескольких повторных попыток связаться с Airoha и привлечения к этому некоторых производителей устройств. 4 июня компания Airoha начала распространение среди производителей обновлённого SDK, включающего возможности для блокирования уязвимостей. В конце июня после истечения 90 дней с момента отправки информации о проблеме исследователи опубликовали общие сведения об уязвимостях, но решили пока не раскрывать детали, касающиеся проблемного протокола, чтобы дать производителям дополнительное время на распространение обновлений прошивок.
Устройства, в которых подтверждено наличие рассматриваемых уязвимостей:
- Beyerdynamic Amiron 300;
- Bose QuietComfort Earbuds;
- EarisMax Bluetooth Auracast Sender;
- Jabra Elite 8 Active;
- JBL Endurance Race 2, JBL Live Buds 3;
- Jlab Epic Air Sport ANC;
- Marshall ACTON III, MAJOR V, MINOR IV, MOTIF II, STANMORE III, WOBURN III;
- MoerLabs EchoBeatz;
- Sony CH-720N, Link Buds S, ULT Wear, WF-1000XM3/4/5, WF-C500, WF-C510-GFP, WH-1000XM4/5/6, WH-CH520, WH-XB910N, WI-C100;
- Teufel Tatws2.