新蓝牙耳机漏洞让黑客劫持已连接的智能手机

安全研究人员披露了影响广泛使用的蓝牙耳机和耳塞的严重漏洞，攻击者可能利用这些漏洞窃听对话、窃取敏感数据，甚至劫持已连接的智能手机。

这些漏洞编号为 CVE-2025-20700、CVE-2025-20701 和 CVE-2025-20702，影响搭载 Airoha 蓝牙系统级芯片（SoC）的设备，涉及的主要制造商包括索尼、Bose、JBL、Marshall 和 Jabra。

这些漏洞最初于 2025 年 6 月披露，以便厂商有时间开发补丁。然而，六个月后，许多设备仍未修补，促使研究人员在发布白皮书的同时公开了完整的技术细节以及 RACE 工具包，该工具可帮助用户和安全专业人员验证其设备是否易受攻击。

Airoha 是蓝牙 SoC 的主要供应商，尤其是为真无线立体声（TWS）耳塞提供芯片。该公司提供参考设计和 SDK 实现，由制造商集成到其产品中。

ERNW 的研究人员发现，基于 Airoha 的设备通过多种接口（包括蓝牙低功耗、蓝牙经典模式和 USB HID 连接）暴露了一种名为 RACE（远程访问控制引擎）的自定义协议。

RACE 协议

RACE 协议最初旨在用于工厂调试和固件更新，它提供了强大的功能，例如在闪存和 RAM 中读取和写入任意位置。

第一个漏洞 CVE-2025-20700 涉及蓝牙低功耗 GATT 服务缺少身份验证。攻击者可以在蓝牙范围内发现并连接到易受攻击的耳机，而无需配对，从而获得对 RACE 协议的静默访问权限。此连接通常在用户不知情的情况下发生，使攻击完全隐蔽。

CVE-2025-20701 涉及蓝牙经典模式连接缺少身份验证。虽然这些连接有时更可见，并可能中断音频流，但未经身份验证的访问允许攻击者建立双向音频连接，有可能通过设备的免提配置文件（HfP）利用麦克风进行窃听。

第三个漏洞 CVE-2025-20702 涉及通过 RACE 协议本身暴露的关键功能。特定命令允许攻击者检索设备信息、读取闪存页面、对 RAM 执行任意读/写操作以及获取设备的蓝牙经典地址。这些功能使攻击者能够更改设备并永久提取敏感配置数据。

从耳机到智能手机

当攻击者将这些漏洞串联起来入侵已连接的智能手机时，会产生最严重的影响。攻击序列始于攻击者通过蓝牙低功耗或蓝牙经典模式连接到附近的耳机，然后使用 RACE 协议转储设备的闪存。

该内存包含一个配对设备信息的连接表，包括用于耳机和手机之间相互身份验证的加密链接密钥。

根据 ERNW 的研究，攻击者利用此链接密钥，可以冒充受信任的耳机，从特权位置连接到受害者的智能手机。这使得多种攻击向量成为可能，包括提取受害者的电话号码和联系人、触发 Siri 或 Google Assistant 等语音助手发送消息或拨打电话、劫持来电以及利用手机内置麦克风建立窃听连接。

研究人员演示了概念验证攻击，成功入侵了 WhatsApp 和亚马逊账户，突显了这些漏洞在现实世界中的严重性。

研究人员确认了众多流行设备存在漏洞，尽管受影响产品的完整列表仍不清楚。已验证的易受攻击设备包括多款索尼 WH 和 WF 系列耳机（包括旗舰产品 WH-1000XM5 和 WF-1000XM5）、Bose QuietComfort Earbuds、JBL Live Buds 3、Marshall MAJOR V 和 MINOR IV，以及来自 Beyerdynamic、Jabra 和 Teufel 的其他各种型号。

一些制造商已发布解决这些问题的固件更新。Jabra 在透明度方面表现突出，在其安全中心公开列出了受影响的设备，并在固件发布说明中提到了 CVE 编号。Marshall 和 Beyerdynamic 也发布了更新，但各厂商的信息可用性差异很大。

用户应立即通过制造商的应用或网站更新其蓝牙耳机。记者、外交官和政治人物等高价值目标应考虑改用有线耳机，以消除基于蓝牙的攻击向量。用户还应检查并从其手机中删除未使用的已配对设备，以尽量减少可能泄露的链接密钥数量。

制造商必须立即应用 Airoha 的 SDK 补丁，并在发布产品前进行彻底的安全评估。遵循既定的蓝牙安全测试方法可以防止未来设备出现类似的漏洞。