Уязвимости в Bluetooth-наушниках позволяют следить за пользователями
Исследователи компании ERNW сообщили о трёх уязвимостях в Bluetooth-чипах Airoha, которые используются в наушниках и колонках более 10 известных брендов, таких как Sony, Bose, Jabra и JBL. Проблема затрагивает 29 моделей устройств, включая наушники, беспроводные микрофоны и колонки. На конференции TROOPERS в Германии специалисты продемонстрировали, как с помощью этих уязвимостей можно, например, прослушивать музыку, которая играет в наушниках жертвы.
Вот перечень уязвимостей:
CVE-2025-20700 (6.7 балла) — отсутствие аутентификации при доступе к GATT-сервисам
CVE-2025-20701 (6.7 балла) — отсутствие проверки при соединении по Bluetooth BR/EDR
CVE-2025-20702 (7.5 балла) — уязвимость в кастомном протоколе, дающая доступ к критическим функциям
Исследователи также указали на более серьёзные угрозы, такие как кража контактов и истории звонков, подслушивание разговоров рядом с телефоном и даже захват управления соединением между телефоном и наушниками. Через Bluetooth Hands-Free Profile (HFP) злоумышленники могут заставить телефон позвонить на случайный номер — и всё это без ведома владельца.
В теории, можно даже перепрошить уязвимое устройство и запустить через него червя, который будет заражать другие Bluetooth-устройства. Однако есть важное уточнение: чтобы провести такую атаку, злоумышленник должен быть в непосредственной близости от устройства, а также обладать высокой квалификацией. Поэтому массовых атак вряд ли стоит ожидать. Но если вы работаете в сфере, где безопасность важна, например, являетесь дипломатом, активистом или журналистом, стоит быть более внимательными.
Разработчик чипов Airoha уже выпустил обновлённый SDK с патчами, а производители устройств начали обновлять прошивки. Однако, как сообщает немецкое издание Heise, большинство обновлений на данный момент датируются до 27 мая, то есть до выпуска исправлений от Airoha. Поэтому остаётся только ждать обновлений и быть настороже, где и с кем вы используете свои Bluetooth-устройства, сообщает Anti-Malware.
Последние новости Перми уже в твоем телефоне - подписывайся на телеграм-канал «Пермь Новости»
