文章总结： 研究人员披露Airoha蓝牙芯片存在多个高危漏洞，攻击者可绕过认证获取设备LinkKey，进而伪装成耳机劫持已配对的智能手机，实现窃听、数据窃取及账户接管。受影响品牌包括索尼和bose等。建议用户立即更新耳机固件，清理旧配对记录，高敏感用户应切换至有线耳机以防被窃听。 综合评分： 88 文章分类： 漏洞分析,IoT安全,移动安全,漏洞预警

蓝牙耳机新漏洞让黑客能够劫持已连接的智能手机

网安百色

2025年12月30日 18:54 广西

蓝牙耳机曝高危漏洞：黑客可窃听对话、窃取数据并劫持智能手机

安全研究人员披露了影响广泛使用的蓝牙耳机和耳塞的严重漏洞，攻击者可能利用这些漏洞窃听对话、窃取敏感数据，甚至劫持连接的智能手机。

漏洞概述

这些漏洞被标识为CVE-2025-20700、CVE-2025-20701和CVE-2025-20702，影响了由Airoha蓝牙系统芯片（SoCs）驱动的设备，这些芯片被包括Sony、Bose、JBL、Marshall和Jabra在内的主要制造商使用。

| CVE编号 | 漏洞名称 | CVSS评分 | | — | — | — | | CVE-2025-20700 | 缺少BLE身份验证 | 8.8 | | CVE-2025-20701 | 缺少经典蓝牙身份验证 | 8.8 | | CVE-2025-20702 | RACE协议远程代码执行/任意读取 | 9.6 |

这些漏洞最初于2025年6月披露，给厂商留出了时间来开发补丁。然而，六个月后，许多设备仍未打补丁，促使研究人员发布了完整的技术细节以及一份白皮书和RACE Toolkit工具，帮助用户和安全专家确认其设备是否易受攻击。

Airoha与RACE协议

Airoha是True Wireless Stereo（TWS）耳塞的主要蓝牙SoC供应商之一，提供参考设计和SDK实现，供制造商集成到产品中。ERNW研究人员发现，基于Airoha的设备通过多种接口（包括蓝牙低能耗、经典蓝牙和USB HID连接）暴露了一个名为RACE（远程访问控制引擎）的自定义协议。

RACE协议原本用于工厂调试和固件更新，提供了强大的功能，如读写闪存和RAM中的任意位置。以下是对各个漏洞的详细分析：

CVE-2025-20700：缺少BLE身份验证

此漏洞涉及蓝牙低能耗（BLE）上的GATT服务缺少身份验证。攻击者可以在无需配对的情况下发现并连接到蓝牙范围内的易受攻击的耳机，从而无声地访问RACE协议。这种连接通常不会通知用户，使得攻击完全隐蔽。

CVE-2025-20701：缺少经典蓝牙身份验证

该漏洞涉及经典蓝牙连接缺少身份验证。尽管这些连接有时更为明显且可能中断音频流，但未认证的访问允许攻击者建立双向音频连接，潜在地使攻击者通过Hands-Free Profile（HfP）使用设备的麦克风进行窃听。

CVE-2025-20702：RACE协议远程代码执行/任意读取

第三个漏洞涉及通过RACE协议本身暴露的关键功能。具体命令允许攻击者检索设备信息、读取闪存页面、在RAM上执行任意读写操作，并获取设备的经典蓝牙地址。这些能力使攻击者能够永久更改设备并提取敏感配置数据。

从耳机到智能手机的攻击链

最严重的后果出现在攻击者利用这些漏洞组合起来攻击连接的智能手机时。攻击序列始于攻击者通过BLE或经典蓝牙连接附近的耳机，然后使用RACE协议转储设备的闪存。

这些内存包含已配对设备的信息表，包括耳机与手机之间相互认证所用的加密Link Key。拥有这个Link Key，攻击者可以伪装成可信的耳机，从特权位置连接受害者的智能手机。

这开启了多个攻击向量，包括：

• 提取受害者的电话号码和联系人
• 触发Siri或Google Assistant发送消息或拨打电话
• 劫持来电
• 使用手机内置麦克风建立窃听连接

ERNW的研究人员展示了成功攻破WhatsApp和Amazon账户的概念验证攻击，突显了这些漏洞在现实世界中的严重性。

受影响的产品及厂商响应

研究人员确认了众多流行设备存在漏洞，尽管完整的受影响产品列表仍不清楚。已确认易受攻击的设备包括Sony WH和WF系列耳机（包括旗舰WH-1000XM5和WF-1000XM5）、Bose QuietComfort耳塞、JBL Live Buds 3、Marshall MAJOR V和MINOR IV，以及其他来自Beyerdynamic、Jabra和Teufel的型号。

一些制造商已经发布了修复这些问题的固件更新。Jabra因其透明度而脱颖而出，在其安全中心公开列出了受影响的设备，并在固件发行说明中提及了CVE编号。Marshall和Beyerdynamic也发布了更新，但各厂商之间的信息可用性差异很大。

用户行动建议

用户应立即通过制造商的应用程序或网站更新其蓝牙耳机。对于记者、外交官和政治家等高价值目标，建议考虑切换到有线耳机以消除基于蓝牙的攻击向量。

此外，用户还应检查并移除手机上不再使用的配对设备，以减少潜在被篡改的Link Keys数量。

制造商责任

制造商必须立即应用Airoha的SDK补丁，并在发布产品前进行全面的安全评估。遵循既定的蓝牙安全测试方法可以帮助防止未来设备出现类似的漏洞。

本公众号所载文章为本公众号原创或根据网络搜索下载编辑整理，文章版权归原作者所有，仅供读者学习、参考，禁止用于商业用途。因转载众多，无法找到真正来源，如标错来源，或对于文中所使用的图片、文字、链接中所包含的软件/资料等，如有侵权，请跟我们联系删除，谢谢！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网安百色 《蓝牙耳机新漏洞让黑客能够劫持已连接的智能手机》