近期，網(wǎng)絡(luò)安全領(lǐng)域曝出一則重大安全警報，涉及廣泛使用的藍(lán)牙音頻設(shè)備芯片。安全專家揭露，該芯片存在多個高危漏洞，可能被黑客利用進(jìn)行竊聽或竊取敏感信息。

據(jù)悉，這款芯片被應(yīng)用于29款不同品牌的音頻產(chǎn)品，包括知名品牌如拜雅動力、Bose、索尼、馬歇爾、捷波朗、JBL等，產(chǎn)品類型涵蓋音箱、耳塞、頭戴式耳機(jī)及無線麥克風(fēng)。

在德國TROOPERS安全大會上，網(wǎng)絡(luò)安全機(jī)構(gòu)ERNW的研究團(tuán)隊詳細(xì)披露了三組漏洞細(xì)節(jié)。這些漏洞被命名為CVE-2025-20700、CVE-2025-20701和CVE-2025-20702，其中CVE-2025-20702的嚴(yán)重程度最高，評分為7.5。研究團(tuán)隊通過概念驗證代碼，成功從受影響設(shè)備中提取了正在播放的音頻內(nèi)容，展示了漏洞的實際危害。

更令人擔(dān)憂的是，攻擊者不僅能利用這些漏洞劫持手機(jī)與藍(lán)牙音頻設(shè)備間的連接，還能通過藍(lán)牙免提協(xié)議向手機(jī)發(fā)送命令。研究團(tuán)隊還成功從設(shè)備內(nèi)存中提取了藍(lán)牙連接密鑰，并模擬了撥打任意號碼的操作。根據(jù)不同手機(jī)配置，攻擊者甚至可能獲取通話記錄、聯(lián)系人列表，或在設(shè)備附近實施遠(yuǎn)程監(jiān)聽。

然而，值得注意的是，此類攻擊的實施條件較為苛刻。攻擊者不僅需要具備高超的技術(shù)能力，還必須在藍(lán)牙通信的有效范圍內(nèi)操作。因此，這類攻擊可能更多地針對特定高價值目標(biāo)。

面對這一安全威脅，芯片制造商Airoha迅速響應(yīng)，發(fā)布了更新版本的軟件開發(fā)工具包（SDK），提供了相應(yīng)的修復(fù)措施。同時，相關(guān)設(shè)備制造商也正積極開發(fā)并部署補(bǔ)丁，以確保用戶安全。