Ένα Bluetooth chipset που είναι εγκατεστημένο σε δημοφιλή μοντέλα από μεγάλους κατασκευαστές είναι ευάλωτο. Οι hackers θα μπορούσαν να το χρησιμοποιήσουν για να ξεκινήσουν κλήσεις και να παρακολουθήσουν συσκευές.
Η σύνδεση μεταξύ ασύρματων ακουστικών και smartphone είναι ο στόχος της νέας επίθεσης Bluetooth.
Μια σοβαρή ευπάθεια ασφαλείας σε πολλά ακουστικά Bluetooth επιτρέπει στους εισβολείς να ακούν δεδομένα από τις συσκευές εξ αποστάσεως και να αναλαμβάνουν τον έλεγχο των συνδέσεων. Ανακαλύφθηκε από ερευνητές της γερμανικής εταιρείας ασφαλείας ERNW που παρουσίασαν την ανακάλυψή τους στη φετινή έκδοση του συνεδρίου ασφαλείας TROOPERS.
Οι ερευνητές υποψιάζονται ότι επηρεάζονται εκατομμύρια συσκευές από διάφορους κατασκευαστές. Προς το παρόν δεν υπάρχουν ακόμη διαθέσιμες ενημερώσεις για την επίλυση του προβλήματος.
Τα τρωτά σημεία εντοπίζονται στο Bluetooth SoC (System-on-Chip) του ταϊβανέζικου κατασκευαστή Airoha, το οποίο είναι ιδιαίτερα δημοφιλές για τα ακουστικά “True Wireless Stereo” (TWS). Χρησιμοποιώντας Airoha chips, τα μικρά ακουστικά μέσα στο αυτί μπορούν να αναπαράγουν στερεοφωνικό ήχο από συσκευές αναπαραγωγής όπως smartphones χωρίς καθυστέρηση. Γνωστοί κατασκευαστές όπως η Sony, η JBL, η Marshall και η Bose το χρησιμοποιούν σε ορισμένες περιπτώσεις, αλλά εγκαθιστούν και τεχνολογία Bluetooth από άλλους προμηθευτές.
Affected Devices
Ευάλωτες συσκευές:
- Beyerdynamic Amiron 300
- Bose QuietComfort Earbuds
- EarisMax Bluetooth Auracast Sender
- Jabra Elite 8 Active
- JBL Endurance Race 2
- JBL Live Buds 3
- Jlab Epic Air Sport ANC
- Marshall ACTON III
- Marshall MAJOR V
- Marshall MINOR IV
- Marshall MOTIF II
- Marshall STANMORE III
- Marshall WOBURN III
- MoerLabs EchoBeatz
- Sony CH-720N
- Sony Link Buds S
- Sony ULT Wear
- Sony WF-1000XM3
- Sony WF-1000XM4
- Sony WF-1000XM5
- Sony WF-C500
- Sony WF-C510-GFP
- Sony WH-1000XM4
- Sony WH-1000XM5
- Sony WH-1000XM6
- Sony WH-CH520
- Sony WH-XB910N
- Sony WI-C100
- Teufel Tatws2
Η Airoha έχει δώσει στα Bluetooth chips της ένα αυτοσχέδιο πρωτόκολλο που επιτρέπει τον διαχειρισμό της μνήμης εργασίας και της μνήμης flash των συσκευών μέσω ραδιοφώνου. Το πρωτόκολλο, το οποίο είναι προσβάσιμο μέσω Bluetooth Low Energy (BLE) καθώς και μέσω του “κλασικού” Bluetooth (BD/EDR), πιθανώς προορίζεται για αλληλεπίδραση με εφαρμογές κατασκευαστών, αλλά είναι και μια πρόσκληση για περίεργους ερευνητές ασφαλείας.
Έτσι μπόρεσαν να αναλάβουν εξ αποστάσεως τον έλεγχο ακουστικών από διάφορους κατασκευαστές – χωρίς να συνδεθούν σε κάποια εφαρμογή ή με τη συνήθη Bluetooth “σύζευξη”. Αποκτώντας πλήρη πρόσβαση στη μνήμη flash και τη μνήμη RAM των ακουστικών, μπόρεσαν επίσης να αναλάβουν τις συνδέσεις με άλλες συσκευές, όπως το smartphone του πραγματικού χρήστη.
Με πρόσβαση στη μνήμη εργασίας (working memory) του Bluetooth chip, οι ερευνητές μπορούσαν αρχικά να “διαβάσουν” ποια μέσα έπαιζε ο χρήστης εκείνη τη στιγμή, όπως ένα podcast ή ένα μουσικό κομμάτι.
Ωστόσο, η επίθεση είναι επίπονη: καθώς οι διευθύνσεις μνήμης διαφέρουν από συσκευή σε συσκευή, οι ερευνητές δεν μπορούσαν απλώς να διαβάσουν τυχαία δεδομένα σε ένα γεμάτο bus, και έπρεπε να προσαρμόσουν την επίθεσή τους. Σε συσκευές Android, οι ειδικοί μπόρεσαν επίσης να διαβάσουν τον αριθμό τηλεφώνου της συσκευής και τις εισερχόμενες κλήσεις, μερικές φορές ακόμη και το ιστορικό κλήσεων και το βιβλίο διευθύνσεων του τηλεφώνου.
Οι ερευνητές μπόρεσαν να αναλάβουν τη σύνδεση μεταξύ του τηλεφώνου και των ακουστικών αντιγράφοντας το κρυπτογραφικό κλειδί της σύνδεσης Bluetooth από τα ακουστικά.
Στη συνέχεια, έχουν πολλές επιλογές – μπορούν να ξεκινήσουν ή να απορρίψουν κλήσεις, να ενεργοποιήσουν φωνητικούς βοηθούς όπως το Siri και το Gemini και να παρακολουθήσουν το θύμα χρησιμοποιώντας πάρα πολλές μεθόδους.
Σε μια επίθεση παρακολούθησης οι εισβολείς μιμούνται το συνδεδεμένο smartphone στα ακουστικά και ανακατευθύνουν τον ηχογραφημένο ήχο από το μικρόφωνό τους. Ωστόσο αυτή η επίθεση είναι εύκολο να εντοπιστεί. Το θύμα σταματά ξαφνικά να ακούει μουσική ή να ακούει από τα ακουστικά του κάτι που είναι αρκετά ύποπτο.
Η δεύτερη μέθοδος προσομοιώνει ένα ακουστικό στο τηλέφωνο και το ξεγελάει ώστε να κάνει μια κλήση στους εισβολείς. Εάν το θύμα δεν δώσει προσοχή στο smartphone του, οι κατάσκοποι μέσω Bluetooth μπορούν πλέον να ακούσουν όλα όσα συμβαίνουν εντός της εμβέλειας της συσκευής.
Αν και αυτές οι επιθέσεις φαίνονται τρομακτικές, οι ερευνητές του ERNW είναι καθησυχαστικοί: θα πρέπει να πληρούνται πολλές προϋποθέσεις για να πραγματοποιηθεί μια επίθεση υποκλοπής.
Πρώτα απ ‘όλα, ο επιτιθέμενος θα πρέπει να βρίσκεται εντός της εμβέλειας Bluetooth μικρής εμβέλειας. Μια επίθεση μέσω Διαδικτύου δεν είναι δυνατή. Πρέπει επίσης να πραγματοποιήσει διάφορα τεχνικά βήματα χωρίς να τραβήξει την προσοχή. Και πρέπει να έχει λόγο να υποκλέψει τη σύνδεση Bluetooth, κάτι που, σύμφωνα με τους ερευνητές, είναι εφικτό μόνο για λίγα άτομα-στόχους.
Παραδείγματα πιθανών στόχων διασημότητες, δημοσιογράφοι ή διπλωμάτες, αλλά και πολιτικοί αντιφρονούντες, υπάλληλοι σε εταιρείες κρίσιμες για την ασφάλεια και άλλοι.
Η Airoha έχει ορίσει συνολικά τρία CVE ID για τα τρωτά σημεία:
CVE-2025-20702: CVSS 9.6/10 (κρίσιμος κίνδυνος): Κρίσιμα χαρακτηριστικά του ιδιόκτητου πρωτοκόλλου Airoha
CVE-2025-20700: CVSS 8.8/10 (υψηλός κίνδυνος): Λείπει ο έλεγχος ταυτότητας για την υπηρεσία GATT
CVE-2025-20701: CVSS 8.8/10 (υψηλός κίνδυνος): Λείπει ο έλεγχος ταυτότητας για τη σύζευξη Bluetooth
Αν και τα δελτία τύπου θα είναι από πολύ επιλεγμένα έως και σπάνια, είπα να περάσω … γιατί καμιά φορά κρύβονται οι συντάκτες.
