近期,网络安全领域曝出一则重大安全警报,涉及广泛使用的蓝牙音频设备芯片。安全专家揭露,该芯片存在多个高危漏洞,可能被黑客利用进行窃听或窃取敏感信息。
据悉,这款芯片被应用于29款不同品牌的音频产品,包括知名品牌如拜雅动力、Bose、索尼、马歇尔、捷波朗、JBL等,产品类型涵盖音箱、耳塞、头戴式耳机及无线麦克风。
在德国TROOPERS安全大会上,网络安全机构ERNW的研究团队详细披露了三组漏洞细节。这些漏洞被命名为CVE-2025-20700、CVE-2025-20701和CVE-2025-20702,其中CVE-2025-20702的严重程度最高,评分为7.5。研究团队通过概念验证代码,成功从受影响设备中提取了正在播放的音频内容,展示了漏洞的实际危害。
更令人担忧的是,攻击者不仅能利用这些漏洞劫持手机与蓝牙音频设备间的连接,还能通过蓝牙免提协议向手机发送命令。研究团队还成功从设备内存中提取了蓝牙连接密钥,并模拟了拨打任意号码的操作。根据不同手机配置,攻击者甚至可能获取通话记录、联系人列表,或在设备附近实施远程监听。
然而,值得注意的是,此类攻击的实施条件较为苛刻。攻击者不仅需要具备高超的技术能力,还必须在蓝牙通信的有效范围内操作。因此,这类攻击可能更多地针对特定高价值目标。
面对这一安全威胁,芯片制造商Airoha迅速响应,发布了更新版本的软件开发工具包(SDK),提供了相应的修复措施。同时,相关设备制造商也正积极开发并部署补丁,以确保用户安全。
