关键词
漏洞
近期,网络安全研究人员披露了一组涉及蓝牙音频芯片供应链的高危安全漏洞。漏洞存在于达发科技(Airoha,联发科子公司)生产的蓝牙系统级芯片及其 SDK 中。由于该系列芯片被广泛应用于全球多家主流品牌的耳机和音响产品,导致数亿台设备暴露在攻击面之下。
攻击者可在无需配对、无需用户交互的情况下接管目标设备,进而实施窃听、固件篡改,甚至通过所谓的「耳机劫持」技术,反向控制已连接的智能手机。
漏洞核心机制与技术细节
本次漏洞主要集中在 Airoha 芯片固件中实现的一种专有协议RACE。
该协议原本仅用于工厂测试或开发调试,但在大量量产固件中未被移除或禁用,且缺乏任何有效认证机制,从而成为攻击入口。
涉及的关键漏洞(CVE)
CVE-2025-20700:GATT 服务认证缺失
攻击者可通过 BLE 发现并连接目标设备。由于 GATT 服务未进行访问控制,攻击者可借此建立隐蔽通信通道,访问 RACE 协议接口。
CVE-2025-20701:蓝牙 BR/EDR 认证缺失
在经典蓝牙模式下,设备未强制执行配对认证流程,攻击者可直接建立连接,为后续高带宽通信和音频劫持创造条件。
CVE-2025-20702:RACE 协议暴露高危功能
这是影响最严重的漏洞。攻击者可通过 RACE 接口直接对芯片内存和闪存进行读写,导致敏感数据泄露、固件被覆盖,甚至实现远程代码执行。
「耳机劫持」:完整攻击链解析
与传统蓝牙攻击不同,此次漏洞的真正威胁在于横向移动能力,即从耳机进一步渗透至手机等核心终端。
攻击流程如下:
1. 无感接入
攻击者在约 10 米范围内,利用 BLE 或 BR/EDR 漏洞,在用户毫无察觉的情况下连接其蓝牙耳机。
2. 凭据提取
通过 RACE 协议读取耳机内存,提取与手机配对生成的**链路密钥(Link Key)**及手机的蓝牙 MAC 地址。
3. 身份伪冒与横向移动
攻击者使用获取的密钥伪装成合法耳机,手机因验证通过而自动建立连接。
4. 控制终端设备
连接建立后,攻击者可通过 HFP、A2DP 等蓝牙协议控制手机,包括:
激活麦克风进行环境监听
强制发起电话呼叫
获取通讯录和通话记录
通过语音助手注入恶意指令
这是一次典型的供应链安全事件。Airoha 的芯片方案以高性价比著称,被广泛集成于多家知名品牌产品中,包括:
Sony
JBL
Xiaomi
Realme
Marshall
Bose
Beyerdynamic等
隐蔽性强
厂商在基于 SDK 二次开发时,往往未意识到调试协议残留风险,导致漏洞随产品进入市场。
修复难度高
即便原厂已发布修复 SDK,蓝牙耳机整体固件升级率极低,部分低端设备甚至不支持 OTA,意味着大量存量设备将长期处于暴露状态。
潜在物理伤害
攻击者可通过 RACE 协议将音量瞬间调至最大,对佩戴者造成不可逆的听力损伤。
已确认受影响的部分设备
Sony:WH-1000XM5、WF-1000XM5、LinkBuds S
JBL:Live Buds 3、Endurance Race 2
Marshall:Major V、Acton III
Beyerdynamic:Amiron 300
(受影响范围仍在持续扩大中)
防御建议与缓解措施 对普通用户
及时更新固件:检查配套 App,第一时间升级耳机固件
降低暴露面:不使用时关闭耳机电源或手机蓝牙
关注异常行为:如音量异常、频繁断连、异常配对请求,应立即移除设备并重新配对
资产清查:禁止在涉密区域使用未修补的蓝牙音频设备
无线监测:部署蓝牙/BLE 监测系统,识别异常连接行为
BYOD 管控:将蓝牙外设固件版本纳入准入检查策略
Airoha 芯片漏洞再次凸显:硬件层面的专有协议和调试接口,已成为物联网安全的长期顽疾。
在万物互联的背景下,攻击者正越来越多地利用边缘设备(如耳机)作为跳板,渗透至手机、PC 等核心终端。
「耳机劫持」不只是隐私泄露问题,更可能演变为针对高价值目标的定向攻击手段。
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
热门跟贴