近期,網(wǎng)絡安全領域曝出一則重大安全警報,涉及廣泛使用的藍牙音頻設備芯片。安全專家揭露,該芯片存在多個高危漏洞,可能被黑客利用進行竊聽或竊取敏感信息。
據(jù)悉,這款芯片被應用于29款不同品牌的音頻產(chǎn)品,包括知名品牌如拜雅動力、Bose、索尼、馬歇爾、捷波朗、JBL等,產(chǎn)品類型涵蓋音箱、耳塞、頭戴式耳機及無線麥克風。
在德國TROOPERS安全大會上,網(wǎng)絡安全機構ERNW的研究團隊詳細披露了三組漏洞細節(jié)。這些漏洞被命名為CVE-2025-20700、CVE-2025-20701和CVE-2025-20702,其中CVE-2025-20702的嚴重程度最高,評分為7.5。研究團隊通過概念驗證代碼,成功從受影響設備中提取了正在播放的音頻內(nèi)容,展示了漏洞的實際危害。
更令人擔憂的是,攻擊者不僅能利用這些漏洞劫持手機與藍牙音頻設備間的連接,還能通過藍牙免提協(xié)議向手機發(fā)送命令。研究團隊還成功從設備內(nèi)存中提取了藍牙連接密鑰,并模擬了撥打任意號碼的操作。根據(jù)不同手機配置,攻擊者甚至可能獲取通話記錄、聯(lián)系人列表,或在設備附近實施遠程監(jiān)聽。
然而,值得注意的是,此類攻擊的實施條件較為苛刻。攻擊者不僅需要具備高超的技術能力,還必須在藍牙通信的有效范圍內(nèi)操作。因此,這類攻擊可能更多地針對特定高價值目標。
面對這一安全威脅,芯片制造商Airoha迅速響應,發(fā)布了更新版本的軟件開發(fā)工具包(SDK),提供了相應的修復措施。同時,相關設備制造商也正積極開發(fā)并部署補丁,以確保用戶安全。
