Выявившие уязвимость исследователи смогли подготовить прототип инструментария, позволяющего удалённо по Bluetooth читать и записывать данные в оперативную память и Flash. На практике, получения полного доступа к памяти наушников может использоваться для атаки на сопряжённый с наушниками смартфон пользователя. В частности, упоминается, что через взаимодействие наушников со смартфоном можно получить доступ к содержимому адресной книги, извлечь историю звонков, совершать звонки и прослушивать разговоры или улавливаемые микрофоном звуки.
Для взаимодействия со смартфоном со скомпрометированных наушников используются возможности Bluetooth-профиля HFP (Hands-Free Profile), позволяющего отправлять команды на смартфон. Из-за сложности эксплуатации уязвимостей можно предположить, что проблемы будут востребованы для проведения целевых атак на конкретных персон, а не на массовое применение против обычных пользователей. Проблема в том,что инструментарий для проведения атаки должен быть реализован для каждой отдельной модели наушников, так как необходимо учитывать различия раскладки памяти в каждой прошивке.
Проведение атаки возможно благодаря выявлению трёх уязвимостей в Blutooth-стеке Airoha. Уязвимости CVE-2025-20700 и CVE-2025-20701 позволяют установить канал связи с Bluetooth BR/EDR (Bluetooth Classic) и сервисами GATT (Bluetooth Low Energy) без прохождения аутентификации, а уязвимость CVE-2025-20702 позволяет задействовать специфичный для SoC Airoha расширенный протокол для манипуляции устройством. Исследователи выявили, что служебный расширенный протокол, среди прочего позволяющий читать и записывать данные в ОЗУ и Flash, доступен без сопряжения устройств через BLE GATT или Bluetooth Classic RFCOMM.
Информация о наличии уязвимостей была отправлена в компанию Airoha 25 марта, но ответ удалось получить только 27 мая после нескольких повторных попыток связаться с Airoha и привлечения к этому некоторых производителей устройств. 4 июня компания Airoha начала распространение среди производителей обновлённого SDK, включающего возможности для блокирования уязвимостей. В конце июня после истечения 90 дней с момента отправки информации о проблеме исследователи опубликовали общие сведения об уязвимостях, но решили пока не раскрывать детали, касающиеся проблемного протокола, чтобы дать производителям дополнительное время на распространение обновлений прошивок.
Устройства, в которых подтверждено наличие рассматриваемых уязвимостей:
- Beyerdynamic Amiron 300;
- Bose QuietComfort Earbuds;
- EarisMax Bluetooth Auracast Sender;
- Jabra Elite 8 Active;
- JBL Endurance Race 2, JBL Live Buds 3;
- Jlab Epic Air Sport ANC;
- Marshall ACTON III, MAJOR V, MINOR IV, MOTIF II, STANMORE III, WOBURN III;
- MoerLabs EchoBeatz;
- Sony CH-720N, Link Buds S, ULT Wear, WF-1000XM3/4/5, WF-C500, WF-C510-GFP, WH-1000XM4/5/6, WH-CH520, WH-XB910N, WI-C100;
- Teufel Tatws2.
Источник: http://www.opennet.ru/opennews/art.shtml?num=63507